«Важные истории» со ссылкой на экспертный отчет вновь обвинили Telegram в наличии критической уязвимости

Издание опубликовало отчёт компании Symbolic Software, которая специализируется на анализе кибербезопасности и техническом аудите приложений. Среди её клиентов, как указывает издание, такие компании, как Zoom, Mozilla и Coinbase.

По данным «Важных историй», экспертиза была проведена для проверки технических утверждений из публикации издания, вышедшей в июне 2025 года. В том расследовании журналисты сообщали, что значительную часть сетевой инфраструктуры Telegram обслуживает компания Global Network Management (GNM) с островов Антигуа и Барбуда, владельцем которой был уроженец Тольятти Владимир Веденеев.

По материалам того расследования, бывшая российская компания Веденеева в рамках государственного контракта обслуживала оперативно-разыскные комплексы ФСБ, используемые для слежки за гражданами России.

Как утверждает издание, инициатором проведения экспертизы Symbolic Software, судя по всему, выступил сам Веденеев. После выхода расследования он подал в швейцарский суд иск против основателя «Важных историй» Романа Анина, требуя удалить интервью, в котором, по утверждению издания, он признавался в сотрудничестве с ФСБ.

SOTA сообщила, что в беседе с изданием Веденеев рассказал, что действительно заказал экспертизу Symbolic Software. По его словам, таким образом он хотел проверить, насколько обвинения Анина в небезопасности программного обеспечения Telegram могут иметь под собой основания.

При этом иск в Швейцарии связан, по слова Веденеева, только с нарушением Романом Аниным журналистской этики. В прошлом году «Важные истории» без согласия Веденеева записали и выложили разговор с ним. Анин объяснил публикацию «общественной значимостью» материала.

Как рассказал Веденеев SOTA, суд принял обеспечительную меру, обязав Анина скрыть видео до окончательного решения, однако тот этого делать не стал.

Объектом критики Symbolic Software и «Важных историй» стало поле auth_key_id, 64-битный идентификатор авторизационного ключа, который, согласно официальной документации MTProto, добавляется в незашифрованном виде в заголовок каждого сообщения, отправляемого клиентом Telegram на сервер.

В рамках работы над публикацией 2025 года журналисты «Важных историй» провели эксперимент: попросили людей в разных странах обменяться сообщениями в Telegram и записали трафик с помощью специальной программы. На наличие auth_key_id в открытом виде, по данным издания, при анализе этих данных обратил внимание польский специалист по информационной безопасности Михал «Рышек» Возняк.

В отчёте Symbolic Software указывается, что её аналитики подтвердили эти выводы: клиенты Telegram передают сообщения через незащищённые TCP-соединения, из-за чего значение auth_key_id оказывается видимым в открытом или тривиально обфусцированном виде любому посреднику в сети.

По данным экспертизы, auth_key_id функционирует как постоянный идентификатор устройства. Авторы отчёта Symbolic Software утверждают, что он не меняется между сессиями, при смене IP-адреса, сети или географического положения пользователя.

По мнению авторов, это создаёт техническую возможность отслеживания устройства любым пассивным наблюдателем в сети, в том числе интернет-провайдером, сетевым администратором и государственными системам слежки. В отчёте также отмечается, что для такого отслеживания не требуется атака типа «человек посередине», вмешательство в работу протокола или взлом сертификатов — достаточно перехвата трафика с минимальной последующей обработкой.

В документе говорится, что собранные значения auth_key_id могут быть сведены в базу данных, позволяющую устанавливать связи между идентификаторами устройств, временем активности, точками подключения. При наличии данных из других источников их можно привязать к конкретным личностям, утверждается в документе.

Авторы также указывают, что описанная уязвимость затрагивает в том числе пользователей функции «Секретных чатов» со сквозным шифрованием, поскольку утечка auth_key_id происходит на транспортном уровне, ниже уровня прикладного шифрования. Использование стандартных средств защиты приватности, таких как VPN, по выводу авторов, не предотвращает раскрытие идентификатора.

При этом экспертиза Symbolic Software не утверждает, что переписку пользователей можно расшифровать с помощью этой уязвимости. «Важные истории», однако, со ссылкой на опрошенных экспертов по кибербезопасности такой риск допускают.

В материале сказано, что auth_key_id служит для поиска в базе данных Telegram ключа конкретного пользователя, с помощью которого мессенджер расшифровывает сообщения на своих серверах. При наличии у наблюдателя доступа к этой базе расшифровка переписки, по словам собеседников издания, теоретически возможна.

В качестве причины уязвимости отчёт Symbolic Software указывает архитектурное решение Telegram не делать транспортное шифрование обязательным. Утверждается, что для других крупных мессенджеров эта практика считается стандартной.

«До тех пор, пока Telegram не внедрит надлежащее шифрование TLS, он продолжает подвергать своих пользователей ненужным рискам для конфиденциальности и возлагает на всю свою экосистему партнеров по инфраструктуре ответственность за метаданные, которые никогда не должны были входить в их компетенцию. Это представляет собой не просто технический сбой, но и фундаментальный отказ Telegram от ответственности за защиту конфиденциальности пользователей с помощью соответствующих криптографических мер», — говорится в отчёте.

Представитель Telegram, которого «Важные истории» называют именем Реми Вонг, в ответе редакции отверг выводы отчёта. По утверждению Telegram, идентификатор auth_key_id регулярно меняется и не раскрывает информации о пользователях, содержимом сообщений или получателях.

Как заявил представители Telegram, любой наблюдатель, способный его видеть, уже располагал бы более надёжными методами отслеживания, лежащими вне контроля мессенджера.

Telegram также сообщил, что владеет своей инфраструктурой, которая настраивается и контролируется исключительно его внутренними инженерными командами. Там также заявили, что GNM — «уважаемый международный инфраструктурный провайдер» и что ни GNM, ни Веденеев не связаны с ФСБ.

Кроме того, в ответе утверждается, что с 2021 года ни GNM, ни какая-либо другая компания, связанная с Веденеевым, не оказывает Telegram услуг в дата-центре, где хранятся данные российских и европейских пользователей.

Сам Веденеев также рассказала, что физический доступ к серверам не означает возможности читать информацию с них, а «связь с ФСБ», в которой обвиняет его Анин, была контрактом на прокладку кабеля в Санкт-Петербурге и стандартными ответами российских провайдеров на запросы силовиков.