تلگرام از سیستم رمزنگاری خاصی موسوم به MTProto استفاده میکند تا ارتباطات میان کاربر و سرورهای خود را ایمن کند. این پیامرسان برخلاف پیامرسانهای مجهز به رمزنگاری دوطرفه، فقط سطح محدودی از ایمنی را برای ارتباطات کاربران فراهم میکند.یک مهاجم با حمله به شبکه تلگرام میتواند ترتیب پیامها را جابهجا کند. البته تلگرام تایید کرده که این مشکل را در نسخههای جدید برطرف کرده است.
آسیبپذیری دیگری که در نسخههای اندروید، iOS و دسکتاپ تلگرام مشاهده شده به مهاجم اجازه میدهد محتوای رمزنگارینشده را از پیامها به دست آورد. برای انجام این کار باید پیامهای خاصی، در مقیاس چند میلیون به سوژه فرستاده شود. اگرچه انجام چنین کاری در عمل تقریبا غیرممکن است، ولی آسیبپذیری سیستم تلگرام را رد نمیکند. این شرکت مدعی است که مشکل یاد شده را در ماه ژوئن برطرف کرده و به کاشف این باگ پاداش داده است.
محققان همچنین نشان دادهاند که هکرها چگونه میتوانند حمله «مهاجم میانی» را در فرآیند جابهجایی کلیدهای اولیه رمزنگاری بین کلاینت و سرور انجام دهند. مهاجم در این حمله خود را به جای سرور جا میزند. خوشبختانه انجام این حمله هم کار بسیار دشواری است، چون طی آن باید چند میلیارد پیام ظرف چند دقیقه به سرور تلگرام ارسال شود. این مشکل هم در آپدیتهای جدید برطرف شده است.
محققان میگویند پروتکلهایی مثل MTProto از بلاکهای سازنده رمزنگاری نظیر توابع هش، سایفرهای بلاک و رمزنگاری کلید عمومی ساخته میشوند. در نتیجه، امنیت پروتکل به امنیت بلاکهای سازنده تقلیل مییابد. افزون بر این، پژوهشگران فقط سه نسخه اندروید، iOS و دسکتاپ تلگرام را بررسی کردهاند و وضعیت ایمنی کلاینتهای شخص ثالث یا تحت وب مشخص نیست.