Интернет-ресурс «Может, вам повезёт?» уже не раз говорил о провалах в модели безопасности мессенджера Telegram в формате «между делом». В частности, этим отличается серия публикаций о происходившим между мессенджером Дурова и нацмессенжером MAX медийном «апокалипсисе», который к началу 2026-го года сильно сбавил свои «обороты». Тем не менее, необходимо привести все сказанное к единому «знаменателю».
Для начала стоит определить характеристики понятия «безопасный мессенджер», с которым мы в последствии будем сравнивать Telegram. Безопасный мессенджер имеет сильное сквозное шифрование (E2EE), использующее современные алгоритмы (см. Signal Protocol), защиту метаданных на приемлемом уровне, открытый код приложений, и, что самое главное, минимальный сбор данных (см. мессенджер Signal).
Начнём с основ. Telegram использует шифрование только в процессе передачи сообщений от клиента к серверу (и то, пакеты содержат незашифрованные идентификаторы, о чем далее). Это означает, что любой, кто получит доступ к серверам Telegram, на которых эти сообщения хранятся, сможет прочитать их без каких-либо проблем.
Как и в случае со всеми мессенджерами, соблюдающими требования «Пакета Яровой», эти сообщения не только могут быть проданы техническим персоналом Дурова, но и получены путём прямого взлома сервера через уязвимость нулевого дня, от которой команда Telegram даже при сильном желании защититься не может. Существуют «секретные чаты», но в расчёт их брать нельзя, ведь доступны они только на мобильных платформах, а также уязвимы к перехвату ключей самим сервером, ввиду «хлипкого» шифрования.
Говоря о метаданных, Telegram отправляет ID пользователя на сервер незашифрованным — не только без шифрования самого значения, но и без простого HTTPS — это означает, что любое устройство, которое наблюдает за трафиком пользователя Telegram (будь то злоумышленник в публичной сети или государственный «фильтр») может точно определить пользователя, а также, в некоторой степени, его устройство.
Также, ввиду того, что простой HTTP легко подменяется и искажается, это позволяет с лёгкостью манипулировать пакетами клиента Telegram. Это моветон, который без какой-либо необходимости уменьшает как и приватность пользователей, так и устойчивость к блокировкам.
Кроме этого, Telegram хранит всю историю групповых звонков в своеобразном блокчейне — мол, для того, чтобы было нельзя тайно подключиться. Оставим эту вселенскую глупость на «совести» PR-отдела Дурова. Сам факт излишнего сбора метаданных, тем не менее, есть.
Доморощенный протокол MTProto, который используется в том числе и в «секретных чатах», не подразумевает хоть какой-то приемлемой защиты метаданных — то есть, сервер, через который проходят все секретные чаты, всегда знает, кто, кому, когда, сколько, и откуда пишет. Это критическая уязвимость для любого безопасного мессенджера, которая так и не была исправлена за более чем 10 лет существования Telegram и две версии MTProto.
Исходя из перечисленных фактов, мессенджер Telegram «пролетает» со «свистом» по всем пунктам и не может считаться безопасным.
О других особенностях существования мессенджера Дурова, выходящих за рамки «техники», можно прочитать как и в «Дополнении к хронологии подготовки к блокировке Telegram», так и в дайджесте «О том, что было, будет, или есть» за 2025-й год.