Поделиться этой статьей
BTC
$83,349.89
+
8.70%ETH
$1,679.14
+
14.37%USDT
$0.9999
+
0.08%XRP
$2.0792
+
15.12%BNB
$583.26
+
4.91%SOL
$119.74
+
13.22%USDC
$1.0001
-
0.00%DOGE
$0.1627
+
13.88%ADA
$0.6413
+
14.38%TRX
$0.2374
+
2.92%LEO
$9.3605
+
3.94%LINK
$12.80
+
17.01%TON
$3.1916
+
6.61%AVAX
$18.66
+
15.81%XLM
$0.2440
+
9.88%SUI
$2.2589
+
15.75%HBAR
$0.1716
+
16.74%SHIB
$0.0₄1213
+
13.69%OM
$6.6793
+
7.89%BCH
$307.33
+
13.98%Зарегистрироваться
- Вернуться к меню
- Вернуться к менюЦены
- Вернуться к менюИсследовать
- Вернуться к менюКонсенсус
- Вернуться к менюПартнерский материал
- Вернуться к меню
- Вернуться к меню
- Вернуться к менюВебинары и Мероприятия
Исследователи утверждают, что обещанная в ICO технология Telegram уязвима для атак
Telegram выпустил свое первое приложение после ICO, но эта игра с идентификацией повергла исследователей в шок.
Имея на счету 1,7 млрд долларов после первичного размещения монет (ICO), Telegram выпустил свою первую функцию, дружелюбную к криптовалютам, но специалисты по безопасности настроены скептически.
Как подробно описано в опубликованном сегодня сообщении в блоге, стартап из США Virgil Security выявил несколько слабых мест в новом приложении для проверки личности Passport. Хотя компания похвалила Telegram за публикацию API приложения с открытым исходным кодом, что позволило другим экспертам проверить код, Virgil Security подробно описала две проблемы с приложением: как оно шифрует данные и как защищает хранимые данные.
Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
«Их приверженность открытости дает специалистам по безопасности возможность пересмотреть свою реализацию и, в идеале, помочь улучшить ее», — написал Алексей Ермишкин из Virgil Securityблог компании, добавив:
«К сожалению, безопасность Passport разочаровывает по нескольким ключевым параметрам».
Telegram никогда публично не объявлял и не подтверждал существование своего миллиардного ICO. Но когда в начале этого года начали просачиваться документы, стало ясно, что компания, более известная своим чат-приложением, намеревалась конкурировать со многими сервисами — от файлообмена до зашифрованного просмотра, — которые уже предлагали Криптo .
Кроме того, компания хотела внедрить платежи на основе блокчейна в чат-приложение Telegram, которое в последние годы стало популярным среди Криптo .
Платежи и проверка личности идут рука об руку, что делает Passport естественным ранним предложением компании. Кроме того, разрушение действующих лиц в области цифровых ID , таких как Equifax, которые KEEP данные в централизованных базах данных, уязвимых для взлома и злоупотреблений, давно является общей целью сообщества Криптовалюта , поэтому это подходящее место для начала Telegram.
В его запись в блогеTelegram обещает о новом продукте, что «ваши идентификационные документы и персональные данные будут храниться в облаке Telegram с использованием сквозного шифрования. Они зашифрованы паролем, который знаете только вы, поэтому Telegram не имеет доступа к данным, которые вы храните в своем паспорте Telegram».
Далее обещается, что в конечном итоге эти данные будут храниться децентрализованно. Идентификация была ONE из компонентов амбициозной системы на основе блокчейна, которую обещал Telegram. в техническом документе ICO.
Однако, LOOKS по выводам Virgil Security, Telegram необходимо вернуться к чертежной доске.
Грубая сила
Основная претензия Virgil Security к системе безопасности Passport касается способа шифрования паролей.
Анонсируя Passport,Телеграмма выпущеназначительный объем информации о том, как работает система. В частности, Virgil Security акцентирует внимание на том, что Telegram использует SHA-512 для хеширования паролей.
«На дворе 2018 год, и ONE графический процессор высшего уровня может провести грубую проверку 1,5 миллиарда хэшей SHA-512в секунду», — пишут они.
Далее подсчитывается, что при наличии достаточного количества компьютеров эти пароли можно будет взломать за сумму от 135 до 5 долларов за штуку, в зависимости от сложности паролей, выбранных пользователями.
Однако, как признает Вирджил, прежде чем злоумышленник сможет начать атаку, ему сначала необходимо будет взломать сам Telegram.
«Чтобы получить доступ к хэшам паролей, атака должна быть внутренней по отношению к Telegram. Существует множество способов, с помощью которых это может произойти: внутренняя угроза, фишинг, ONE мошенническая USB-флешка и ETC.», — рассказал CoinDesk соучредитель Virgil Security Дмитрий Дейн.
И если множество пользователей начнут использовать и по очереди загружать эти данные в Telegram Passport, это сделает компанию очень привлекательной целью.
Telegram уже давно подвергается критике за то, что онсвой собственный подход к криптографии, а не полагаться на установленные стандарты. При этом модель Telegram до сих пор не была известна ни разу, чтобы ее сломали.
Неподписанные данные
Другая опасность для пользователей, которую критикует Virgil Security, BIT более тонка: данные, загружаемые в Passport , T подписаны.
Криптографически подписывая данные (что является неотъемлемой частью архитектуры блокчейна в целом), пользователи могут быстро проверить, что данные были загружены именно тем лицом, которое заявило об их загрузке, и что они T были изменены.
Без криптографической подписи злоумышленник может изменить часть данных, и ONE об этом не узнает.
В публикации Virgil Security утверждается:
«Теперь, когда люди видят «сквозное шифрование», они верят, что их данные будут безопасно отправлены третьей стороне, не беспокоясь о том, что они будут расшифрованы или подделаны. К сожалению, у пользователей Passport возникнет ложное чувство уверенности».
Тем не менее, учитывая критику Virgil Security и новизну продукта, Telegram должно быть относительно просто усилить свою безопасность (Virgil Security является ONE из поставщиков сквозного шифрования).
Telegram не сразу ответил на Request о комментарии.
Сломанный замокизображение через ShutterStock
