Независимая экспертиза подтвердила критическую уязвимость «Телеграма»

В распоряжении «Важных историй» оказался экспертный отчет компании Symbolic Software, которая специализируется на анализе кибербезопасности и техническом аудите приложений для таких IT-гигантов, как Zoom, Mozilla, Coinbase и многих других. Symbolic Software проверила утверждения из прошлогодней публикации «Важных историй» о том, как «Телеграм» связан с ФСБ, и пришла к выводу, что описанная нами в 2025 году уязвимость действительно угрожает приватности всех пользователей мессенджера, включая даже тех, кто переписывается в секретных чатах.

«Мы проверили утверждения из публикации об этих уязвимостях и пришли к выводу, что основные технические выводы верны и их можно подтвердить независимым способом. <...> Последствия этой уязвимости выходят далеко за рамки теоретических опасений. <...> Это особенно важно, учитывая, что «Телеграм» широко используется журналистами, активистами и другими людьми из групп повышенного риска», — говорится в экспертизе (полностью отчет Symbolic Software можно прочитать здесь).

О какой уязвимости идет речь?

Во время работы над прошлогодним расследованием «Важные истории» провели эксперимент: мы попросили людей в разных странах мира отправить друг другу сообщения в «Телеграме» и записать трафик с помощью специальной программы. Затем мы показали полученные результаты экспертам в области кибербезопасности, и они обнаружили, что при передаче данных мессенджер отправляет незашифрованный заголовок, содержащий уникальный идентификатор устройства auth_key_id. 

С помощью этого идентификатора те, кто имеют доступ к трафику «Телеграма», могут следить за пользователями, анализировать их сетевую активность и выявлять коммуникационные связи. Эксперты из Symbolic Software пришли к такому же выводу: «Наш анализ подтверждает ключевые технические выводы: «Телеграм» передаёт сообщения через незащищенные TCP-соединения, из-за чего идентификатор auth_key_id отправляется в открытом виде или в форме, которую легко расшифровать любому посреднику в сети. auth_key_id фактически работает как постоянный идентификатор устройства: он не меняется между сессиями, при смене IP-адреса, интернет-сети или даже географического местоположения пользователя. Это создает техническую возможность для отслеживания устройства теми, кто имеет доступ к сетевому трафику, включая интернет-провайдеров, сетевых администраторов, государственные системы слежки». 

«Все перечисленные злоумышленники, — говорится дальше в экспертизе — могут собирать значения auth_key_id с помощью пассивного наблюдения за интернет-трафиком. Для этого не требуется сложная атака типа “человек посередине” (man-in-the-middle), взлом сертификатов или вмешательство в работу протокола. Достаточно просто перехватывать сетевой трафик и выполнить минимальную обработку данных.

Поскольку auth_key_id сохраняется неизменным между сессиями, при смене сети и в течение длительного времени, это создает возможность для долгосрочного отслеживания устройств. Любая структура, собирающая такие идентификаторы из сетевого трафика, может создать большую базу данных, связывая конкретные auth_key_id с местами подключения к интернету, временем активности, особенностями трафика и — если личность пользователя известна из других источников — с конкретными людьми.

Такая база данных позволила бы, например, отвечать на вопросы вроде: “Где устройство с auth_key_id X появлялось за последние шесть месяцев?” или “Какие устройства находились в точке подключения Y в определённый период времени Z?”. Возможность отслеживать устройство независимо от смены IP-адреса означает, что даже пользователи, которые регулярно меняют сети, используют мобильный интернет или динамические IP-адреса, всё равно могут оставаться отслеживаемыми благодаря постоянному auth_key_id», — подчеркивают эксперты.

Откуда экспертиза и при чем тут ФСБ?

Эта экспертиза особенна ценна не только тем, что ее провела независимая компания с репутацией в сфере кибербезопасности, но и тем, что инициатором ее проведения, судя по всему, был не кто иной, как Владимир Веденеев — один из главных героев прошлогоднего расследования «Важных историй». 

В 2025 году нам удалось выяснить, что Веденеев на протяжении нескольких лет занимал должность финансового директора «Телеграма», имел доверенности от компании и Павла Дурова на подписание документов, а кроме того, он обслуживает почти всю сетевую инфраструктуру мессенджера в разных странах мира. 

Мы также узнали, что бывшая российская компания Веденеева (в 2024 году он переписал ее на родственника) в рамках секретного госконтракта обслуживает оперативно-разыскные комплексы ФСБ, используемые для слежки за гражданами России. Но самое важное — по признанию самого Веденеева, за ним закреплен специальный куратор из ФСБ — старший офицер спецслужбы, с которым Веденеев давно сотрудничает и делится информацией: «Меня курирует наш фээсбэшник, сормовский, он пытается, видимо, погоны получить, поэтому он всем говорит: “Доступ только через меня к Владимиру”. Мне звонит, говорит: “Слушай, Володь, давай, короче, там надо как-то с ними пообщаться со всеми там ими [другими фээсбэшниками], ну и так далее”.

Они [фээсбэшники] говорят: “Вот, нам нужен в такое-то время такой-то айпишник. Кто это такой?” Мы понимаем, что мы не можем не ответить, да? Мы быстро им отвечаем. У нас есть там авторизованные имейлы, с которых они присылают запросы. Мы быстро им отвечаем. Говорим: “Это там Иванов Иван Иванович, квартира номер 7 там, бла-бла-бла”. Они такие: “Всё, окей”», — рассказывал Веденеев в интервью «Важным историям». 

После выхода расследования Веденеев подал иск в суд в Швейцарии, где он живет и имеет вид на жительство, к главному автору текста и основателю «Важных историй» Роману Анину. В иске Веденеев не оспаривает утверждения из расследования, но требует удалить интервью, в котором признается в сотрудничестве с ФСБ. 

Знакомясь с материалами швейцарского процесса, мы и обнаружили ту самую техническую экспертизу Symbolic Software, которую приложил Веденеев, видимо надеясь, что эксперты опровергнут технические выводы текста. Однако, они их подтвердили. 

Каков масштаб проблемы?

«Возможность наблюдать за пользователями по всему миру зависит от того, какую часть интернет-инфраструктуры контролирует злоумышленник. Для действительно глобальной слежки нужен доступ к инфраструктуре в разных странах и на разных маршрутах передачи данных», — говорится в экспертизе Symbolic Software. 

И именно таким уровнем доступа обладает Владимир Веденеев. Вот, что он, например, говорил в интервью «Важным историям»: «“Телега” не имеет доступа к дата-центрам ни в Сингапуре, ни в Майами: они ни разу там не были. Сейчас уже четыре дата-центра построено. Мы (принадлежащая Веденееву компания GNM, которая обслуживает сетевую инфраструктуру “Телеграма”. — Р.А.) в четырех уже находимся. <...> 

На сегодняшний момент все каналы связи предоставляю я. Не кто-то другой, а я! Если я сильно захочу, конечно же, я могу снять этот трафик». 

Это признание Веденеева в совокупности с выводами эксперта говорят о том, что значительная часть трафика «Телеграма» проходит, по сути, через одного человека и: 

• этот трафик содержит незашифрованные идентификаторы устройств, которые позволяют следить за пользователями; 
• этот человек имеет куратора в ФСБ, с которым давно сотрудничает и делится информацией. 

В прошлогоднем интервью «Важным историям» Владимир Веденеев отрицал описанную нами уязвимость и утверждал, что передает своему куратору из ФСБ только информацию об интернет-пользователях российских компаний, но не «Телеграма». Так ли это на самом деле — вопрос веры.

Эксперт из Symbolic Software отмечает, что уязвимость возникла не из-за какой-то технической недоработки, а вследствие «фундаментального отказа “Телеграма” от своей обязанности защищать приватность пользователей с помощью современных криптографических механизмов. <...> Решение проблемы очевидно: “Телеграм” должен полностью устранить эту уязвимость, сделав обязательным использование транспортного шифрования — стандартной технологии, которую сегодня применяют практически все крупные мессенджеры. Технически это реализуется достаточно просто, почти не влияет на скорость работы сервиса, но значительно повышает уровень защиты приватности пользователей. <...>

До тех пор пока такие меры не будут внедрены, “Телеграм” несет ответственность за риски для приватности, возникающие из-за того, что постоянные идентификаторы устройств остаются доступными для наблюдателей, имеющих доступ к сетевому трафику», — заключает эксперт. 

Позволяет ли уязвимость читать сообщения? 

В экспертизе Symbolic Software не идет речь о том, что злоумышленники, которые имеют доступ к трафику «Телеграма» и идентификаторам устройств, могут расшифровывать сообщения. Однако опрошенные «Важными историями» эксперты в области кибербезопасности такой риск допускают. 

Дело в том, что идентификатор auth_key_id, который «Телеграм» по каким-то причинам передает по сети в открытом виде, служит для того, чтобы найти в базе данных ключ конкретного пользователя, с помощью которого мессенджер расшифровывает сообщения на своих серверах. Таким образом, если предположить, что у того же Владимира Веденеева или другого пассивного наблюдателя за трафиком есть доступ к этой базе, это означает, что они могут расшифровывать сообщения. 

Представитель «Телеграма» Реми Вонг (существует ли такой человек в реальности — неизвестно: в сети нет его фотографий или других упоминаний) прислал в редакцию «Важных историй» такой ответ на наш запрос: «“Телеграм” отвергает выводы неопубликованного отчета и связанные с ним утверждения по причинам, изложенным на этой странице.

auth_key_id регулярно меняется и не раскрывает информацию о пользователях, содержимое сообщений, данные о получателях или другую приватную информацию. Любой наблюдатель, способный видеть этот идентификатор, уже имел бы доступ к более надежным способам отслеживания, находящимся вне контроля “Телеграма”. “Телеграм” владеет своей инфраструктурой, которая настраивается, управляется и контролируется исключительно внутренними инженерными командами “Телеграма”. GNM является уважаемым международным инфраструктурным провайдером, ни GNM, ни господин Веденеев не связаны с ФСБ.

Также отметим, что с 2021 года ни GNM, ни любая другая компания, связанная с господином Веденеевым, не предоставляли услуги “Телеграму” в дата-центре, где хранится информация российских и европейских пользователей. Уже один этот факт делает всю теорию заговора о связи ФСБ и Веденеева не соответствующей действительности».