Паспорт Telegram уязвим к брутфорс атакам

Недавно выпущенный мессенджером Telegram Паспорт, как выяснилось уязвим для брутфорс атак. Именно так заявляет компания Virgil Security, Inc, которая работает в сфере криптографического программного обеспечения и услуг.

26 июля Telegram объявил о запуске Паспорта Telegram, предназначенного для шифрования персональной информации пользователей. Сервис позволяет делиться своими идентификационными данными с третьими лицами, такими как ICO-проекты, криптовалютные кошельки и другими организациями, которые вынуждены придерживаться правил KYC.

Данные пользователей хранятся в облаке Telegram с использованием сквозного шифрования, а затем попадают в децентрализованное облако. В дальнейшем, если пользователю необходимо предоставить доступ к этим данным для какой-либо третьей компании, ему достаточно просто ввести пароль. Однако в своих недавних исследованиях Virgil Security высказала озабоченность по поводу такой защиты.

Согласно Virgil Security, Telegram использует SHA-512, алгоритм хэширования, который не предназначен для хэширования паролей. Этот алгоритм делает пароли уязвимыми для брутфорс атак, даже если они перемешаны со случайными данными.

В криптографии такие дополнительные данные добавляются для обеспечения дополнительной защиты.

Безопасность данных, которые вы загружаете в облако Telegram, в огромной степени зависит от сложности вашего пароля, поскольку атаки простым перебором достаточно эффективны для взлома этого алгоритма хеширования. А отсутствие цифровой подписи позволяет, при условии, что есть пароль, изменять ваши данные без вашего участия.

В Virgil Security заявляют, что “стоимость” такой атаки составила бы от 5 до 135 долларов за пароль. Однако, в компании также признают, что подобную атаку можно совершить только имея доступ к внутренней структуре Telegram, а это можно сделать с помощью фишинговой атаки или используя методы социальной инженерии.

В марте учредители Telegram, Павел и Николай Дуров сообщили, что во втором раунде своего ICO им удалось собрать 850 миллионов долларов, которые будут использованы для разработки собственной блокчейн платформы Telegraph Open Network (TON).