График работы (по МСК): ПН-ПТ 10:00-24:00, СБ-ВС 11:00-19:00
Главная
-
Новости
-
Криптографические эксперты раскрывают проблемы безопасности в паспорте Telegram

Криптографические эксперты раскрывают проблемы безопасности в паспорте Telegram

03.08.2018

Компания Virgil согласно проведенного анализа считает, что данная функция вовсе не имеет защиты.

Во-первых, Telegram использует Secure Hashing Algorithm 2 (SHA-512), который является криптографически слабым. Вирджил объясняет, что для защиты паролей взломам хакера больше времени, чтобы угадать каждый пароль.

«Это 2018 год, и один графический процессор верхнего уровня может скорректировать около 1,5 миллиардов SHA-512 хэшей в секунду».

Солирование - это способ включения случайных данных в пароль; однако, даже это не поможет в случае SHA-512. Только сильный пароль будет защищать учетную запись пользователей от атак с использованием грубой силы.

Virgil добавил, что сайт службы занятости LinkedIn был взломан в 2012 году, так как он использовал предшественника SHA-2, SHA-1. Атака выявила пароли из 8 миллионов пользователей LinkedIn. В следующем году онлайн-рынок LivingSocial, который также использовал SHA-1, потерял 50 миллионов паролей в аналогичной атаке. Поэтому удивительно, что Telegram решила использовать такую слабую систему защиты паролем.

Во-вторых, Telegram утверждает, что он шифрует пользовательские данные и затем отправляет их в облако. Затем данные дешифруются и повторно зашифровываются, чтобы подтвердить идентификацию пользователя в сторонней службе. Полученные данные не являются полностью случайными и снова используют SHA-2. В дополнение к этому приложение не включает в себя возможность цифровой подписи, а «отсутствие цифровой подписи позволяет изменять ваши данные без вас или получателя, способного рассказать».

В своем официальном сообщении Telegram писал, что служба была сквозной зашифрованной и использовала пароль, который знал только пользователь. Однако это исследование показывает, что лазейки, присутствующие в кодах, делают пользователя уязвимым для хакеров. Некоторые из альтернатив, предоставляемых Вирджилом, включают SCrypt, BCrypt, Argon2, BrainKey и Pythia.

Команда аналитического отдела онлайн-обменника Еurobitcoins напоминает, что в августе 2016 года хакеры разоблачили телефонные номера 15 миллионов пользователей иранских телеграмм. Тогда система аутентификации пользователей, которая использовала SMS для завершения процесса, привела к атаке. Поскольку Passport содержит конфиденциальную информацию, он может быть уже нацелен хакерами. Теперь Telegram справляется с ситуацией и улучшает безопасность этого «продукта высокого профиля».