Создатель кроссплатформенного мессенджера Telegram, Павел Дуров, публично заявил, что федералы оказывают давление на компанию, целью которого является ослабление ее шифрования или установка бэкдора.
«В ходе визита нашей команды в США в прошлом году у нас было две подкупить наших разработчиков агентствами США, плюс давление на меня из ФБР. Было бы думать, что можно запустить независимое и безопасное приложение с шифрованием в США» - пишет Павел Дуров в Twitter.
Комментарии Дурова логически вытекают из неподтвержденных утверждений, что конкурирующее приложение Signal было скомпрометировано.
«Шифрование Signal финансируется правительством США. Я предсказываю, что через пять лет там будет обнаружен бэкдор» - Дуров.
Многие эксперты, к слову, выразили презрение к тому, что Дуров подверг сомнению безопасность конкурирующего приложения.
«Не уверен даже, что в его словах более абсурдно – заявления про бэкдор или тот факт, что это все похоже на то, как если бы генеральный директор Pepsi утверждал бы, что Coca Cola намеренно травит людей» - Мартиан Грутен (Martijn Grooten), редактор Virus Bulletin.
Павел Дуров, основатель ВКонтакте (ВК), создал Telegram со своим братом Николаем. Telegram предлагает функцию самоудаления зашифрованных сообщений, похожий функционал реализован в Snapchat. В ноябре в Telegram были заблокированы некоторые «публичные» каналы, связанные с запрещенной в России террористической организацией ИГИЛ.
Примерно в то же время независимые эксперты высмеивали кустарную реализацию шифрования в Telegram, предупреждая, что она подвержена утечке метаданных, не считая других проблем. Также исследователи продолжают осторожно относиться к заявлениям Telegram о предоставлении полной безопасности в чатах.
«Находится под контролем людей с хорошими намерениями. Лучше, чем ничего, но небезопасные настройки по умолчанию делают его незащищенным для простых пользователей» - говорит Эдвард Сноуден о Telegram.
В широко используемом наборе инструментов XZ Utils была выявлена уязвимость класса use-after-free. Патч уже доступен для всех затронутых версий, в Linux-дистрибутивах начали появляться обновления.
В появлении проблемы CVE-2025-31115 (8,7 балла CVSS) повинен декодировщик многопоточного режима в составе библиотеки liblzma. Эксплойт как минимум грозит крешем (DoS).
Уязвимости подвержены сборки XZ Utils с 5.3.3alpha по 5.8.0 включительно. Угроза также актуальна для сторонних приложений и библиотек, использующих функцию lzma_stream_decoder_mt.
Патч включен в состав выпуска XZ Utils 5.8.1, а также доступен в загрузках на сайте проекта. В качестве временной меры защиты можно отключить декодирование файлов в многопоточном режиме с помощью команды xz --decompress --threads=1 или xzdec.
В прошлом году в библиотеке liblzma, включенной в пакет XZ Utils, объявился бэкдор. Проблема получила идентификатор CVE-2024-3094 и 10 баллов из десяти возможных по шкале CVSS.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
