Новости

Исследование: паспорт Telegram уже научились взламывать

Недавно мы писали о том, как крупнейший мировой мессенджер Telegram выпустил паспорт на блокчейне.

Основная задача Telegram Passport — оберегать личные данные пользователей. Эти данные нужны для верификации в ICO и прочих проектах, требующих аутентификацию. Но Telegram Passport оказался довольно ненадёжным.

Новая система верификации от Телеграм не выдерживает метод хакерской атаки путем автоматического подбора ключей (brute force attack). Об этом сообщается в отчёте разработчика криптографического ПО и услуг Virgil Security, от 1-го августа.

Как получается взламывать Telegram Passport?

Пользовательские данные, зарегистрированные в Telegram Passport, изначально попадают в общее «облако» Телеграма через многоуровневую систему шифрования. Затем они перемещаются в децентрализованное «облако», которое шифрует личные данные, выдавая их за «цифровой шум». Но специалисты из Virgil Security не уверены, что у этого сервиса надёжная система защиты пользовательских паролей.

Согласно Virgil Security, Телеграм использует алгоритм хеширования SHA-512, который в принципе не должен хешировать пароли. Именно этот алгоритм, хоть он и «приправлен солью», делает пароли уязвимыми для атак «грубой силы», то есть метода подбора ключей.

В криптографии «соль» – это рандомная строка данных, которая передаётся хеш-функции вместе с паролем. Таким образом длина оригинального пароля увеличивается искусственно и взломать его становится труднее.

Советуем почитать: Телеграм выпускает паспорт, который пригодится криптоинвесторам

Когда пользователь шифрует личные данные с помощью паспорта, они загружаются в «облако» Телеграма. А когда пользователю нужно подтвердить свою личность на стороннем сервисе, он обращается к этим данным. Они расшифровываются для автоматической аккредитации на нужном сервисе. Вся эта цепочка делает хеш-таблицы с пользовательскими таблицами потенциально уязвимыми к агрессивным хакерским атакам.

Как обезопасить свои данные в Телеграм?

Virgil Security поясняет, как можно обезопасить свои данные в Telegram Passport:

«Безопасность ваших данных, загруженных в «облако» Телеграм, в целом, зависит от сложности вашего пароля. Учитывайте, что легкие пароли могут быть быстро взломаны простым методом перебора ключей из-за уязвимости хеш-алгоритмов. А отсутствие цифровой подписи в Telegram Passport также позволяет редактировать взломанные данные таким образом, что ни вы, ни получатель этих данных ни о чём не догадаются».

Тэги
Показать больше

Похожие материалы

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Close