Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Пользователь Habr обнаружил способ взлома Telegram Passport

Новости

Шифрование Telegram Passport является не end-to-end в привычном понимании, а разработано специалистами компании самостоятельно и имеет уязвимости.

5К открытий5К показов

Пользователь Habr под ником Scratch опубликовал на сайте запись о том, что в сервисе для безопасной авторизации Passport от Telegram существуют лазейки для кражи личных данных пользователя. Всему виной алгоритмы шифрования, которые применяются в механизме инструмента.

Подробнее о находке

Как сообщает автор заметки, на самом деле шифрование в Telegram Passport является не end-to-end в привычном понимании, а специально разработанным компанией алгоритмом. В облачное хранилище передаются зашифрованные персональные данные и почти случайный криптографический ключ, а также хеш от персональных данных, смешанный со случайными байтами. Scratch говорит, что этой информации достаточно, чтобы провести успешную брутфорс-атаку и похитить личные данные пользователей сервиса.

Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC.

Разработчик подробно описал все алгоритмы, которые использует сервис для обеспечения шифрования, а также описал приблизительный план по применению брутфорс-атаки для взлома инструмента. Кроме того, он привел в пример несколько сервисов, которые используют «настоящее» end-to-end шифрование. Среди них — мессенджеры Signal и Whatsapp.

Метод защиты данных в Telegram Passport

В дополнение специалист по безопасности отметил, что скорость взлома зависит от длины пароля пользователя. Для защиты он предложил придумать сложный пароль длиннее 8 символов, который, по его мнению, использует очень малое количество пользователей.

Напомним, что инструмент для быстрой аутентификации и хранения пользовательских данных Telegram Passport официально вышел 26 июля 2018 года. Он уже подвергся критике по поводу политики безопасности со стороны Антона Розенберга — бывшего коллеги создателя Telegram Павла Дурова.

Следите за новыми постами
Следите за новыми постами по любимым темам
5К открытий5К показов
Также рекомендуем
Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Поговорим о том, как применение двухфакторной аутентификации (2FA) помогает в борьбе с киберпреступниками и как ее могут применять различные организации.
🔥 Павла Дурова арестовали: ему грозит до 20 лет тюрьмы и экстрадиция в США. Что известно на данный момент?
🔥 Павла Дурова арестовали: ему грозит до 20 лет тюрьмы и экстрадиция в США. Что известно на данный момент?
Основатель Telegram Павел Дуров был задержан 24 августа 2024 года во Франции по обвинениям в пособничестве терроризму, наркоторговле и отмыванию денег. Арест может привести к экстрадиции Дурова в США, и грозит ему до 20 лет тюрьмы.
iPhone начали принудительно перезагружаться раз в 4 дня. Все ради вашей безопасности
iPhone начали принудительно перезагружаться раз в 4 дня. Все ради вашей безопасности
Apple добавила в iOS 18.1 функцию автоматической перезагрузки iPhone раз в 4 дня для повышения безопасности данных. Нововведение усложняет работу полиции по вскрытию устройств
🔥 У DOOM появился новый порт. На этот раз в Telegram
🔥 У DOOM появился новый порт. На этот раз в Telegram
DOOM теперь доступен в Telegram: Axiom Game Labs представила новый порт культовой игры, позволяющий играть в шутер прямо в мессенджере через специального бота