Push-уведомления в мессенджерах стали серьёзной угрозой приватности, заявил основатель Telegram Павел Дуров. Его реакция последовала за сообщениями о том, что правоохранительные органы получали удалённые сообщения из Signal через журналы этих уведомлений. Обнаружен ранее недооценённый вектор атаки на конфиденциальность.
Техническая лазейка в инфраструктуре уведомлений
Push-уведомления — короткие сообщения, приходящие на устройство даже при закрытом приложении. Они проходят через серверы технологических гигантов, таких как Apple и Google. Эти компании могут хранить логи уведомлений, которые иногда содержат фрагменты переписки или метаданные. Недавние инциденты показали, что эту информацию можно получить по запросу властей, обходя шифрование внутри самого мессенджера.
Даже если сообщение удалено в самом приложении, его след может остаться в логах push-уведомлений у провайдера операционной системы.
Уязвимость в самом защищённом звене
Заявление Дурова сделано на фоне растущего внимания к приватности в цифровую эпоху. Ситуация с Signal, известным своим акцентом на безопасность, особенно показательна. Она демонстрирует, что уязвимость может скрываться не в самом протоколе шифрования, а в инфраструктурных слоях, которые часто остаются вне поля зрения разработчиков и пользователей. Это заставляет пересмотреть представление о полной конфиденциальности даже в специализированных приложениях.
Дальнейшее развитие событий, вероятно, подтолкнёт разработчиков мессенджеров к поиску технических решений для минимизации утечек данных через этот канал. Пользователям же стоит быть более осведомлёнными о том, какие данные могут собирать не только приложения, но и платформы. Как скоро появятся первые решения, блокирующие утечку данных через push-сервисы?