Telegram中文网消息:一份由Important Stories获得的独立网络安全评估报告显示,Telegram会暴露持久性设备标识符,这可能导致用户在不同网络和位置之间被被动追踪。该报告支持OCCRP和IStories于2025年对Telegram基础设施及其与一名据称与俄罗斯联邦安全局(FSB)有关联的俄罗斯网络工程师之间的联系展开的调查。
一项独立的网络安全审查证实了OCCRP 及其俄罗斯合作伙伴 Important Stories此前报告的 Telegram 严重漏洞,该漏洞发现这款即时通讯应用会暴露持久的设备标识符,从而可能允许跨网络和位置跟踪用户。
由 Symbolic Software 进行的这项审查(Important Stories 获取)发现,Telegram 客户端传输消息的方式会以明文或易于反混淆的形式暴露一个名为“auth_key_id”的标识符。该标识符在会话、IP 地址变更、网络切换和地理位置变化时均保持不变。
这意味着互联网服务提供商、网络管理员、国家监控系统或其他能够被动访问 Telegram 流量的行为者,无需破解加密、拦截证书或主动操纵连接,即可收集标识符。
专家表示,这种访问权限可能使观察者建立一个数据库,将特定设备与网络位置、时间戳和流量模式关联起来。如果用户身份已通过其他途径获知,则相同的数据可用于跟踪该用户设备的长期活动。
2025 年,OCCRP 和 IStories 的调查发现,俄罗斯网络工程师弗拉基米尔·韦杰涅耶夫曾担任 Telegram 的首席财务官,拥有代表 Telegram 和创始人帕维尔·杜罗夫签署文件的授权委托书,并且经营着与俄罗斯国家和安全相关客户(包括 FSB)有联系的公司。
韦杰涅耶夫本人承认与俄罗斯联邦安全局(FSB)有联络人,并回应了涉及俄罗斯互联网用户的安全部门请求。韦杰涅耶夫否认记者所描述的漏洞存在,并表示他不会向FSB提供Telegram数据。
Telegram否认了最新的调查结果。该公司在回复Important Stories的邮件中表示,“auth_key_id”参数会定期更改,不会泄露用户信息、消息内容、收件人或私人数据。Telegram还表示,其基础设施完全由内部工程团队管理,并否认Vedeneev或其公司GNM与俄罗斯联邦安全局(FSB)有任何关联。
