Ipinangako ng Telegram Tech Sa ICO na Vulnerable sa Pag-atake, Sabi ng Mga Mananaliksik

Sa $1.7 bilyon sa bangko kasunod ng paunang coin offering nito (ICO), inilabas ng Telegram ang una nitong tampok na crypto-friendly – ​​ngunit may pag-aalinlangan ang mga mananaliksik sa seguridad.

Tulad ng detalyado sa isang post sa blog na inilathala ngayon, ang Virgil Security, isang startup na nakabase sa U.S., ay natukoy ang ilang mga kahinaan sa bagong app sa pag-verify ng pagkakakilanlan, na tinatawag na Passport. Habang pinuri ng kumpanya ang Telegram para sa pag-publish ng API ng application bilang open source, na nagpapahintulot sa code na suriin ng iba pang mga eksperto, ang Virgil Security ay nagdetalye ng dalawang problema sa app: kung paano ito nag-encrypt ng data at kung paano nito pinoprotektahan ang nakaimbak na data.

"Ang kanilang pangako sa pagiging bukas ay nagbibigay ng pagkakataon sa mga security practitioner na suriin ang kanilang pagpapatupad at, sa isip, tumulong na mapabuti ito," isinulat ni Alexey Ermishkin ng Virgil Security sa blog ng kumpanya, idinagdag:

"Sa kasamaang palad ang seguridad ng Passport ay nabigo sa ilang mga pangunahing paraan."

Hindi kailanman inihayag o na-verify ng Telegram sa publiko ang pagkakaroon ng bilyong dolyar na ICO nito. Ngunit nang magsimulang tumulo ang mga dokumento sa unang bahagi ng taong ito, naging malinaw na ang kumpanya, na mas kilala sa chat app nito, ay naglalayong makipagkumpitensya sa marami sa mga serbisyo – mula sa filesharing hanggang sa naka-encrypt na pagba-browse – na iminungkahi na ng mga Crypto startup.

Dagdag pa, nais nitong magdala ng mga pagbabayad na nakabatay sa blockchain sa Telegram chat app, na nitong mga nakaraang taon ay naging popular sa komunidad ng Crypto .

Ang mga pagbabayad at pag-verify ng pagkakakilanlan ay magkakaugnay, na ginagawang natural na maagang pag-aalok ang Passport mula sa kumpanya. Dagdag pa, ang pag-abala sa mga nanunungkulan sa digital ID tulad ng Equifax, na KEEP ng data sa mga sentralisadong database na mahina sa paglabag at pang-aabuso, ay matagal nang ibinahaging layunin ng komunidad ng Cryptocurrency , kaya ito ay isang angkop na lugar para magsimula ang Telegram.

Sa blog post nito tungkol sa bagong produkto, ipinangako ng Telegram na "iimbak ang iyong mga dokumento ng pagkakakilanlan at personal na data sa Telegram cloud gamit ang end-to-end encryption. Ito ay naka-encrypt gamit ang isang password na ikaw lang ang nakakaalam, kaya walang access ang Telegram sa data na iniimbak mo sa iyong Telegram passport."

Ipinangako nito na, sa kalaunan, ang data na ito ay maiimbak sa isang desentralisadong paraan, ang Identity ay ONE sa mga bahagi ng ambisyosong sistemang nakabatay sa blockchain na ipinangako ng Telegram. sa teknikal na whitepaper ng ICO nito.

Ngunit mula sa LOOKS ng mga natuklasan ng Virgil Security, kailangang bumalik ang Telegram sa drawing board.

Brute force

Ang pangunahing kritika ng Virgil Security sa seguridad ng Passport ay ang paraan ng pag-encrypt ng mga password nito.

Sa pag-anunsyo ng Pasaporte, Inilabas ang Telegram isang malaking halaga ng impormasyon tungkol sa kung paano gumagana ang system. Sa partikular, ang Virgil Security ay nakatuon sa katotohanan na ang Telegram ay gumagamit ng SHA-512 upang i-hash ang mga password.

"Ito ay 2018 at ang ONE nangungunang antas ng GPU ay maaaring magsuri tungkol sa 1.5 bilyong SHA-512 na mga hash bawat segundo," isinulat nila.

Nagpapatuloy ito sa pagtatantya na sa sapat na mga computer, ang mga password na ito ay maaaring ma-busted saanman mula $135 hanggang $5 bawat isa, depende sa lakas ng mga password na pinili ng mga user.

Gayunpaman, bago masimulan ng isang umaatake ang pag-atake nito, kakailanganin muna nitong labagin ang mismong Telegram, gaya ng kinikilala ni Virgil.

"Upang ma-access ang mga hash ng password, ang pag-atake ay kailangang maging panloob sa Telegram. Ang mga paraan na maaaring mangyari ay marami — pagbabanta ng insider, spearphish, ONE rogue USB stick, ETC," sinabi ng co-founder ng Virgil Security na si Dmitry Dain sa CoinDesk.

At kung maraming user ang nagsimulang gumamit at naglo-load naman ng data na ito sa Telegram's Passport, gagawin nitong isang napakakaakit-akit na target ang kumpanya.

Matagal nang binatikos ang Telegram sa pagkuha sarili nitong diskarte sa cryptography, sa halip na umasa sa mga itinatag na pamantayan. Iyon ay sinabi, ang modelo ng Telegram ay hindi pa alam na nasira sa ngayon.

Unsigned data

Ang iba pang panganib sa mga gumagamit ng Virgil Security critiques ay BIT mas nuanced: ang katotohanan na ang data na na-upload sa Passport ay T nilagdaan.

Sa pamamagitan ng cryptographically signing data (isang mahalagang bahagi ng blockchain architecture sa malawak na paraan), ang mga user ay maaaring mabilis na ma-verify na ang data ay na-load doon ng taong nag-claim na nag-load nito at T ito nabago.

Kung walang cryptographic signature, maaaring baguhin ng isang attacker ang ilang bahagi ng data at ONE makakaalam.

Ang Virgil Security post ay nangangatwiran:

"Ngayon, kapag nakita ng mga tao ang 'end-to-end na naka-encrypt,' naniniwala sila na ang kanilang data ay ligtas na maipapadala sa isang third party nang hindi nag-aalala na ito ay ma-decrypted o makikialam. Sa kasamaang palad, ang mga gumagamit ng Passport ay magkakaroon ng maling kumpiyansa."

Gayunpaman, sa mga kritika ng Virgil Security at sa pagiging bago ng produkto, dapat ay medyo simple para sa Telegram na patigasin ang seguridad nito (Ang Virgil Security ay ONE provider ng end-to-end na pag-encrypt).

Hindi agad tumugon ang Telegram sa isang Request para sa komento.

Sirang lock larawan sa pamamagitan ng ShutterStock