Пользователь Habr обнаружил способ взлома Telegram Passport

Пользователь Habr под ником Scratch опубликовал на сайте запись о том, что в сервисе для безопасной авторизации Passport от Telegram существуют лазейки для кражи личных данных пользователя. Всему виной алгоритмы шифрования, которые применяются в механизме инструмента.

Подробнее о находке

Как сообщает автор заметки, на самом деле шифрование в Telegram Passport является не end-to-end в привычном понимании, а специально разработанным компанией алгоритмом. В облачное хранилище передаются зашифрованные персональные данные и почти случайный криптографический ключ, а также хеш от персональных данных, смешанный со случайными байтами. Scratch говорит, что этой информации достаточно, чтобы провести успешную брутфорс-атаку и похитить личные данные пользователей сервиса.

Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC.

Scratch, пользователь Habr

Разработчик подробно описал все алгоритмы, которые использует сервис для обеспечения шифрования, а также описал приблизительный план по применению брутфорс-атаки для взлома инструмента. Кроме того, он привел в пример несколько сервисов, которые используют «настоящее» end-to-end шифрование. Среди них — мессенджеры Signal и Whatsapp.

Метод защиты данных в Telegram Passport

В дополнение специалист по безопасности отметил, что скорость взлома зависит от длины пароля пользователя. Для защиты он предложил придумать сложный пароль длиннее 8 символов, который, по его мнению, использует очень малое количество пользователей.

Напомним, что инструмент для быстрой аутентификации и хранения пользовательских данных Telegram Passport официально вышел 26 июля 2018 года. Он уже подвергся критике по поводу политики безопасности со стороны Антона Розенберга — бывшего коллеги создателя Telegram Павла Дурова.

Источник: SecurityLab