Написать пост

Пользователь Habr обнаружил способ взлома Telegram Passport

Аватар Тимур Кондратьев
Тимур Кондратьев

Шифрование Telegram Passport является не end-to-end в привычном понимании, а разработано специалистами компании самостоятельно и имеет уязвимости.

Пользователь Habr под ником Scratch опубликовал на сайте запись о том, что в сервисе для безопасной авторизации Passport от Telegram существуют лазейки для кражи личных данных пользователя. Всему виной алгоритмы шифрования, которые применяются в механизме инструмента.

Подробнее о находке

Как сообщает автор заметки, на самом деле шифрование в Telegram Passport является не end-to-end в привычном понимании, а специально разработанным компанией алгоритмом. В облачное хранилище передаются зашифрованные персональные данные и почти случайный криптографический ключ, а также хеш от персональных данных, смешанный со случайными байтами. Scratch говорит, что этой информации достаточно, чтобы провести успешную брутфорс-атаку и похитить личные данные пользователей сервиса.

Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC.

Разработчик подробно описал все алгоритмы, которые использует сервис для обеспечения шифрования, а также описал приблизительный план по применению брутфорс-атаки для взлома инструмента. Кроме того, он привел в пример несколько сервисов, которые используют «настоящее» end-to-end шифрование. Среди них — мессенджеры Signal и Whatsapp.

Метод защиты данных в Telegram Passport

В дополнение специалист по безопасности отметил, что скорость взлома зависит от длины пароля пользователя. Для защиты он предложил придумать сложный пароль длиннее 8 символов, который, по его мнению, использует очень малое количество пользователей.

Напомним, что инструмент для быстрой аутентификации и хранения пользовательских данных Telegram Passport официально вышел 26 июля 2018 года. Он уже подвергся критике по поводу политики безопасности со стороны Антона Розенберга — бывшего коллеги создателя Telegram Павла Дурова.

Следите за новыми постами
Следите за новыми постами по любимым темам
5К открытий5К показов
Также рекомендуем
Обложка поста Такер Карлсон взял интервью у Павла Дурова
Такер Карлсон взял интервью у Павла Дурова
Известный американский журналист Такер Карлсон взял интервью у основателя Telegram Павла Дуров. Об этом рассказал сам Дуров
Обложка поста JWT для начинающих: что такое JSON Web Tokens и зачем они нужны
JWT для начинающих: что такое JSON Web Tokens и зачем они нужны
JWT — это JSON Web Tokens, простой и безопасный способ передачи информации между клиентом и сервером с помощью шифрования.
Обложка поста Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Один раз недостаточно: двухфакторная аутентификация как норма безопасности
Поговорим о том, как применение двухфакторной аутентификации (2FA) помогает в борьбе с киберпреступниками и как ее могут применять различные организации.
Обложка поста Что такое Notcoin и какие у него перспективы
Что такое Notcoin и какие у него перспективы
Узнали у экспертов по криптовалютам, что такое Notcoin и почему виртуальная валюта из кликера в Telegram становится востребованной.