O Telegramie pisaliśmy na łamach Tabletowo niejednokrotnie. Często podkreślaliśmy nie tylko jego funkcje, ale również zwracaliśmy uwagę na to, że komunikator jawi się jako dość bezpieczna alternatywa dla popularnego WhatsAppa czy Messengera. Wygląda jednak na to, że wszyscy daliśmy się nabrać. Słowa założyciela Signala sugerują, że Telegram ma niewiele wspólnego z ochroną naszej prywatności.
Prywatność Telegrama to mit
Temat prywatności w sieci co chwila wraca jak bumerang. Czy to przy okazji wycieku danych, czy „podsłuchanych” rozmów internetowych. Wraz z coraz większą, ale niestety nadal mizerną świadomością na temat prywatności w sieci, wielu użytkowników zaczęło poszukiwać alternatyw dla najbardziej popularnych rozwiązań.
Tak oto Telegram zaczął zyskiwać coraz to lepszą reputację i popularność, jawiąc się jako dobra alternatywa dla WhatsAppa i Messengera – szczególnie w kwestii prywatności. Wiele jednak wskazuje na to, że jego twórców nasza prywatność wcale nie obchodzi. Takimi rewelacjami podzielił się Moxie Marlinspike – jeden z twórców konkurencyjnego komunikatora Signal.
Marlispike wyprowadził na Twitterze ciężkie działa wymierzone prosto w Telegrama. O ile nie podważa on funkcjonalności i atrakcyjności komunikatora, to jednocześnie sugeruje on, że aplikacja ta z prywatnością ma niewiele wspólnego, a jej szyfrowanie end-to-end to tylko mit. Co gorsza, autor wpisu przekonuje, że wszystkie informacje, wiadomości, kontakty czy multimedia są przechowywane na serwerach jako plain text, a więc jako czytelne dane, które nie są zaszyfrowane. To jednak zostało zdementowane przez pracownika Telegrama (patrz aktualizacja poniżej).
Wygląda więc na to, że aplikacja tak naprawdę to tylko „okno” pozwalające podglądać to, co znajduje się na serwerze. Marlinspike przekonuje, że dowodzi tego prosty eksperyment w postaci zainstalowania komunikatora na nowym smartfonie. Zalogowanie się na takim urządzeniu przy użyciu naszego numeru telefonu sprawia, że natychmiastowo mamy dostęp do swoich konwersacji. Nie ma tutaj chwili zwłoki ani przywracania jakichkolwiek kopii zapasowej – pomyślne zalogowanie natychmiastowo daje dostęp do wszystkich danych.
Błędne przekonanie o dobrym poziomie ochrony danych przez Telegram może się brać stąd, że program ten pozwala na tworzenie „tajnych czatów”, ale są to rozwiązania dość ograniczone, w większości niewykorzystywane przez użytkowników. Tylko w tym przypadku mamy do czynienia z szyfrowaniem end-to-end.
Zresztą, będąc przy komunikatorze Facebooka, to autor wskazuje, że również Messenger oferuje „tajne konwersacje”, które są mniej ograniczone niż rozwiązanie proponowane przez opisywany program. Co więcej, sam protokół szyfrowania zdaje się być lepszy niż ten zastosowany przez Telegram. Mimo to nikt raczej nie nazwałby Messengera bezpiecznym, chroniącym prywatność komunikatorem, a jednak tak nierzadko opisywany jest Telegram.
Błędne rozumienie prywatności
Niektóre osoby mogą czuć się dość bezpieczne, udostępniając wiele swoich danych zewnętrznym firmom, szczególnie takim jak Telegram, który powszechnie uznawany jest za bezpieczny. W ich przekonaniu ochrona prywatności polega na tym, że to właśnie zewnętrzny podmiot zadbać ma oto, aby dane nie wyciekły – nawet jeśli nie są zabezpieczone.
Nie na tym jednak powinna polegać ochrona prywatności. Odpowiednio zaszyfrowany komunikator powinien sprawić, że jedyna osoba, której powinniśmy zaufać, to nasz rozmówca. Wszyscy pozostali powinni być odcięci od naszych wiadomości. Tak właśnie działać powinno szyfrowanie end-to-end – wysyłane wiadomości powinny być widoczne tylko dla nas i naszego odbiorcy, a nie również dla twórcy komunikatora i w zasadzie każdego, kto uzyska dostęp do serwerów.
Frustracja, jaka dopadła Marlinspike’a, nie powinna nikogo dziwić. Signal to nadal dość niszowy komunikator, nawet na tle Telegrama. Nic zatem dziwnego, że autor prosi o rozsądne posługiwanie się terminem „zaszyfrowany komunikator”. Takie błędne nadużywanie tego zwrotu robi krzywdę nie tylko aplikacjom, takim jak wspomniany Signal, ale przede wszystkim nieświadomym użytkownikom.
Aktualizacja (28.12.2021)
Nie trzeba było długo czekać, żeby na przytoczone powyżej informacje zareagował sam zainteresowany. Pracownik Telegrama zaznacza, że każdy zainteresowany może zweryfikować implementację i kompleksowość zastosowanego szyfrowania posiłkując się kodem źródłowym, jak i obszerną dokumentacją.
Firma potwierdza, że opcja „tajnych czatów” posiada szyfrowanie end-to-end, ale równocześnie twierdzi, że wszystko co jest wysyłane przez komunikator jest zabezpieczone, nawet wiadomości w czatach grupowych i posty na kanałach.
Jednocześnie Telegram informuje, że informacje pochodzące od Marlinspike’a mijają się z prawdą. Firma gwarantuje bowiem, że wszelkie przechowywane w chmurze dane są szyfrowane i odpowiednio zabezpieczone.