La tecnologia Telegram promessa nell'ICO è vulnerabile agli attacchi, affermano i ricercatori

Con 1,7 miliardi di dollari in banca a seguito della sua offerta iniziale di monete (ICO), Telegram ha rilasciato la sua prima funzionalità crypto-friendly, ma i ricercatori di sicurezza sono scettici.

Come spiegato in un post del blog pubblicato oggi, Virgil Security, una startup con sede negli Stati Uniti, ha identificato diverse debolezze nella nuova app di verifica dell'identità, chiamata Passport. Mentre l'azienda ha elogiato Telegram per aver pubblicato l'API dell'applicazione come open source, consentendo il controllo del codice da parte di altri esperti, Virgil Security ha descritto due problemi dell'app: come crittografa i dati e come protegge i dati archiviati.

"Il loro impegno verso l'apertura offre ai professionisti della sicurezza l'opportunità di rivedere la loro implementazione e, idealmente, contribuire a migliorarla", ha scritto Alexey Ermishkin di Virgil Security suil blog dell'azienda, aggiungendo:

"Purtroppo la sicurezza di Passport delude sotto diversi aspetti importanti."

Telegram non ha mai annunciato o verificato pubblicamente l'esistenza della sua ICO da miliardi di dollari. Ma quando i documenti hanno iniziato a trapelare all'inizio di quest'anno, è diventato chiaro che la società, più nota per la sua app di chat, mirava a competere con molti dei servizi, dalla condivisione di file alla navigazione crittografata, che le startup Cripto avevano già proposto.

Inoltre, voleva portare i pagamenti basati su blockchain nell'app di chat Telegram, che negli ultimi anni è diventata popolare nella comunità Cripto .

Pagamenti e verifica dell'identità vanno di pari passo, rendendo Passport un'offerta naturale anticipata dall'azienda. Inoltre, sconvolgere i titolari ID digitali come Equifax, che KEEP i dati in database centralizzati vulnerabili a violazioni e abusi, è da tempo un obiettivo condiviso dalla comunità Criptovaluta , quindi è un punto di partenza appropriato per Telegram.

In il suo post sul blogriguardo al nuovo prodotto, Telegram promette che "i tuoi documenti di identità e i tuoi dati personali saranno archiviati nel cloud di Telegram utilizzando la crittografia end-to-end. È crittografato con una password che solo tu conosci, quindi Telegram non ha accesso ai dati che archivi nel tuo passaporto Telegram."

Prosegue promettendo che, alla fine, questi dati saranno archiviati in modo decentralizzato. Identity era ONE dei componenti dell'ambizioso sistema basato su blockchain promesso da Telegram. nel suo whitepaper tecnico ICO.

Ma da LOOKS scoperto da Virgil Security, Telegram deve essere riprogettato.

Forza bruta

La principale critica di Virgil Security alla sicurezza di Passport riguarda il modo in cui vengono crittografate le password.

Nell'annunciare Passport,Telegram rilasciatouna notevole quantità di informazioni su come funziona il sistema. In particolare, Virgil Security si concentra sul fatto che Telegram usa SHA-512 per hash delle password.

"Siamo nel 2018 e ONE GPU di alto livello può effettuare controlli brute-force su circa 1,5 miliardi di hash SHA-512al secondo", scrivono.

Si stima inoltre che, con un numero sufficiente di computer, queste password potrebbero essere violate per una cifra compresa tra 135 e 5 dollari ciascuna, a seconda della complessità delle password scelte dagli utenti.

Tuttavia, come ammette Virgil, prima che un aggressore possa dare il via al suo attacco, dovrebbe prima violare Telegram stesso.

"Per accedere agli hash delle password, l'attacco dovrebbe essere interno a Telegram. I modi in cui ciò potrebbe accadere sono numerosi: minacce interne, spearphish, ONE chiavetta USB non autorizzata, ETC.", ha detto a CoinDesk il co-fondatore di Virgil Security, Dmitry Dain.

E se molti utenti inizieranno a utilizzare e a loro volta a caricare questi dati nel Passport di Telegram, l'azienda diventerà un obiettivo molto allettante.

Telegram è stato a lungo criticato per aver presoil suo approccio alla crittografia, piuttosto che affidarsi a standard consolidati. Detto questo, finora non si sa se il modello di Telegram sia stato violato.

Dati non firmati

L'altro pericolo per gli utenti criticato da Virgil Security è un BIT' più sfumato: il fatto che i dati caricati su Passport T siano firmati.

Firmando crittograficamente i dati (parte integrante dell'architettura blockchain in senso lato), gli utenti possono verificare rapidamente che i dati siano stati caricati dalla persona che ha dichiarato di averli caricati e che T siano stati modificati.

Senza una firma crittografica, un aggressore potrebbe modificare una parte dei dati senza che ONE lo sappia.

Il post di Virgil Security sostiene:

"Ora, quando le persone vedono 'end-to-end encrypted', credono che i loro dati saranno inviati in modo sicuro a una terza parte senza preoccuparsi che vengano decriptati o manomessi. Sfortunatamente, gli utenti di Passport avranno un falso senso di sicurezza."

Tuttavia, grazie alle critiche di Virgil Security e alla novità del prodotto, dovrebbe essere relativamente semplice per Telegram rafforzare la propria sicurezza (Virgil Security è ONE dei fornitori di crittografia end-to-end).

Telegram non ha risposto immediatamente alla Request di commento.

Lucchetto rottoimmagine tramite ShutterStock