Telegram

В Telegram Passport обнаружены уязвимости, позволяющие похитить данные пользователей

В новом сервисе Telegram Passport обнаружено несколько уязвимостей, используя которые злоумышленники могут похитить данные пользователей с помощью брутфорс-атаки.

Как сообщают исследователи по безопасности компании Virgil Security, Telegram использует алгоритм хеширования SHA-512, который не предназначен для хеширования паролей. Этот алгоритм делает пароли уязвимыми для брутфорс атак, даже если они перемешаны со случайными данными.

В Virgil Security заявляют, что “стоимость” такой атаки составила бы от 5 до 135 долларов за пароль. Однако, в компании признают, что подобную атаку можно совершить только, имея доступ к внутренней структуре Telegram, а это можно сделать с помощью фишинговой атаки или используя методы социальной инженерии.

«Безопасность данных, которые вы загружаете в облако Telegram, в огромной степени зависит от сложности вашего пароля, поскольку атаки простым перебором достаточно эффективны для взлома этого алгоритма хеширования. А отсутствие цифровой подписи позволяет изменять ваши данные без вашего участия, при условии, что есть пароль», — сообщается в блоге Virgil Security.

Кроме того, в Virgil Security сообщают, что облако для хранения данных не децентрализовано и данные хранятся на данный момент на серверах Telegram.

«Сейчас, люди, услышав про «end-to-end шифрование», верят в то, что при отправке данных третья сторона не сможет их расшифровать или подменить. К сожалению, пользователи Passport будут иметь ложное чувство уверенности в безопасности и конфиденциальности своих данных, поскольку в Passport слабая защита паролей», — написал Алексей Ермишкин ведущий криптограф Virgil Security, в блоге компании.

Напомним, ранее Telegram объявила о запуске сервиса Telegram Passport, предназначенного для шифрования персональной информации пользователей.

Telegram Passport позволяет хранить в облаке документы удостоверяющие личность такие как, паспорт, водительские права, номер телефона, адрес электронной почты и другие данные, для предоставления этих данных при авторизации на веб-сайтах и в различных веб-сервисах. По заверениям разработчиков доступ к данной информации имеет только пользователь, а вся информации хранится в облаке Telegram с использованием end-to-end (сквозного) шифрования.

Поделиться:

Похожие записи

Автор записи: Евгений Загородний