更新: OPSECの専門家であるThe Grugq氏が、人気のメッセージングアプリTelegram Messengerは安全とは言えないと警告してからわずか数日後、別の研究者が、メタデータの漏洩によってユーザーがストーカー被害に遭う可能性があることを実証した。
Github で、Ola Flisbäck はプレゼンスとステータスの通知のストリームを見ることで、いかに簡単に個人を絞り込むことができるかを示す、気が滅入るデモンストレーションを提供しています。
フリスベック氏によると、このメタデータは普通のテレグラムユーザーには見えないが、コマンドラインクライアントからはアクセスできるという。
問題はここにあります。Telegram を使いやすくしようとした結果、チャット機能が過剰になってしまったのです。例えば、Flisbäck 氏は次のように書いています。「Telegram の Android アプリは、デバイス上でフォアグラウンドになったとき、またはフォアグラウンドでなくなったときに、すべての連絡先に通知を送信します。」
「その情報だけを使っても、『被害者』と共通の連絡先が複数ある場合、誰が誰と話しているのか推測するのは容易です。『攻撃者』は、被害者と他の連絡先がメッセージをやり取りする際に、交互にアクティブ/非アクティブになっているのを目にすることがあります。」
フリスベック氏によると、さらに良いことに、ターゲットの電話番号がわかれば、その電話番号を連絡先に追加できるという。それだけで、あなたの携帯電話を相手のメタデータに登録できるのだ。
Telegramのバックグラウンドチャットはセキュリティリスクとなる。画像 - Ola Flisbäck
Telegram のユーザー メタデータを十分に取得している人なら、誰が誰と会話しているかを問題なく把握できるでしょう。なぜなら、(たとえば) テキスト メッセージをやり取りしている 2 人のユーザーは、交互にアクティブになったり非アクティブになったりするからです。
The Grugq と Matthew Green が正しく、Telegram の暗号化にも問題があるとすれば、このアプリは文明の敵というよりはむしろスパイの味方と言えるでしょう。®
追加更新
テレグラムはレジスター紙に対し、この研究は「でっちあげ」だと語った。
広報担当のマルクス・ラー氏は次のように述べています。「Telegramにおけるユーザーのオンライン/最終ログインステータスは、どのアプリで情報を閲覧したかに関わらず、ユーザーがプライバシー設定で指定したユーザーのみに常に表示されます。この記事における『連絡先への追加』『CLI Telegramクライアント』『非表示メタデータ』といった表現はすべて無関係であり、読者を疑似科学的な専門用語で混乱させるためだけに付け加えられたものです。」®
