Análise de segurança no Telegram: vulnerabilidades criptográficas encontradas

Uma pequena equipe internacional de pesquisa em segurança da informação conduziu uma análise detalhada de segurança no mensageiro Telegram, mundialmente popular. Os criptologistas da ETH Zurich e do Royal Holloway College (Universidade de Londres) conseguiram identificar diversas vulnerabilidades. No entanto, não há perigo imediato para a maioria dos mais de 570 milhões de utilizadores do Telegram.

Análise de segurança no Telegram: vulnerabilidades criptográficas encontradas

Envolvidos nesta investigação sobre os serviços de criptografia do Telegram estavam o professor Kenny Paterson e o Dr. Igors Stepanovs da ETH Zurique e o professor Martin Albrecht e a estudante de doutorado Lenka Mareková da Universidade de Londres. Uma coisa deve ser dita desde já: uma análise detalhada da segurança criptográfica de um mensageiro deste porte estava mais do que atrasada. As quatro vulnerabilidades criptográficas encontradas pelos criptologistas deixam bem claro que o sistema do Telegram é claramente inferior aos padrões de segurança de outros protocolos de criptografia comumente usados, como o Transport Layer Security (TLS).

Bei der ersten hier beschriebenen Sicherheitslücke geht es darum, dass Angreifer im Netzwerk die Abfolge der Nachrichten manipulieren können, die vom Client an einen der von Telegram weltweit betriebenen Cloud-​Server gesendet werden. Die Kryptologen der ETH Zürich stellen fest: «Wenn also jemand die Reihenfolge der Nachrichten ‹Ich sage `ja` zu?, ‹Pizza!›, ‹Ich sage `nein, zu, Verbrechen`› verändern kann, könnte aus dem ‹Ja› zum Pizza essen plötzlich ein ‹Ja› zu einem Verbrechen werden.» Die zweite bei der Sicherheitsanalyse gefundene Schwachstelle ist zwar nur theoretischer Natur, erwähnen muss man sie aber trotzdem. Ein Netzwerkangreifer könnte demnach theoretisch herausfinden, welche von zwei Nachrichten von einem Client oder von einem Server verschlüsselt ist. Zugegeben klingt das jetzt erst einmal ziemlich dramatisch. Allerdings würde es einen enormen Aufwand für Angreifer bedeuten, diese in der Sicherheitsanalyse gefundene Schwachstelle auszunutzen. Gemäss den Sicherheitsexperten müsste ein Angreifer dafür zuerst Millionen sorgfältig erstellter Nachrichten an sein Ziel senden und dabei winzigste Unterschiede in der Zustelldauer der jeweiligen Antworten ermitteln. Die Wissenschaftler sind sich dennoch sicher, dass man auch diese kryptografische Schwachstelle unbedingt ernst nehmen muss.

No entanto, se tal ataque fosse bem sucedido, teria consequências devastadoras para a confidencialidade das mensagens do Telegram e, claro, para os seus utilizadores.

In der letzten gefundenen Sicherheitslücke geht es um den sehr wichtigen Schlüsselaustausch zwischen User-Client und Telegram-Server. Da von Telegram standardmässig keine «End-​to-End» Verschlüsselung bereitgestellt wird, ist gerade diese Verbindung für jeden Nutzer der Messenger-Plattform sehr wichtig. Denn bei einem erfolgreichen Angriff, so stellen die Kryptologen fest, könnte sowohl die Vertraulichkeit als auch die Integrität unserer Kommunikation nachhaltig verletzt werden. Allerdings sagen auch hier die Wissenschaftler, dass ein aktives Ausnutzen dieser Sicherheitslücke sehr schwierig wäre:

Felizmente, esse método de ataque também é relativamente difícil de ser executado, pois o invasor teria que enviar bilhões de mensagens para um servidor do Telegram em minutos.

Como de costume, a equipe de pesquisa informou ao mensageiro sobre as falhas de segurança encontradas 90 dias antes da publicação. O Telegram já respondeu aos problemas de segurança relatados e os corrigiu com atualizações regulares de software. Como já mencionado no início, segundo os especialistas, não há perigo imediato para a maioria dos mais de 570 milhões de usuários do Telegram em todo o mundo. Segundo os pesquisadores, o incidente também revela uma abordagem duvidosa dos desenvolvedores do Telegram ao corrigir tais problemas. Citação (traduzida) da postagem do blog:

Fomos informados pelos desenvolvedores do Telegram que eles não fazem lançamentos dedicados de segurança ou correção de bugs. A única exceção são os hotfixes para uma atualização incorreta anterior. A equipe de desenvolvimento também nos disse que não queria emitir avisos de segurança no momento da aplicação do patch, nem se comprometer com uma data de lançamento para correções específicas. Como consequência, as correções foram implementadas como parte das atualizações regulares do Telegram.

Segundo o próprio Telegram, as falhas de segurança não eram críticas. Talvez também explique a abordagem das lacunas mencionadas. Telegram tem outro para isso Postagem de blog publicada, que detalha os problemas descobertos.

Você pode encontrar nosso canal no Telegram em: https://t.me/dravenstales

Porque sempre me perguntam qual é a maneira mais fácil de investir em Bitcoin: com o aplicativo Rela Isso pode ser feito em apenas alguns passos e sem registros complicados. Ninguém tem acesso ao seu Bitcoin, exceto você. Com o código de referência REL105548 Suas taxas serão reduzidas em 0,5%.

Psst, siga-nos discretamente!

Mais para você:

Apoie-nos!

 
"Dravens Tales from the Crypt" encanta há mais de 15 anos com uma mistura insípida de humor, jornalismo sério - para atualidades e reportagens desequilibradas na política da imprensa - e zumbis, guarnecida de muita arte, entretenimento e punk rock. Draven transformou seu hobby em uma marca popular que não pode ser classificada.

Meu blog nunca foi projetado para espalhar notícias, muito menos para ser político, mas com assuntos atuais eu simplesmente não posso deixar de capturar informações aqui que são censuradas em todos os outros canais. Estou ciente de que a página de design pode não parecer "séria" para muitos a esse respeito, mas não vou mudar isso para agradar o "mainstream". Qualquer pessoa aberta a informações não compatíveis com o estado vê o conteúdo e não a embalagem. Eu tentei o suficiente para fornecer informações às pessoas nos últimos 2 anos, mas rapidamente percebi que nunca importa como é "embalado", mas qual é a atitude da outra pessoa em relação a isso. Não quero colocar mel na boca de ninguém para atender expectativas de forma alguma, então vou manter esse design porque espero que em algum momento eu consiga parar de fazer essas declarações políticas, porque não é meu objetivo continuar assim para sempre ;) Deixo para todos como eles lidam com isso. Você está convidado a copiar e distribuir o conteúdo, meu blog sempre esteve sob a Licença WTFPL.

É difícil para mim descrever o que estou realmente fazendo aqui. DravensTales se tornou um blog de cultura, blog de música, blog de choque, blog de tecnologia, blog de terror, blog divertido, um blog sobre itens encontrados na internet, internet bizarra, blog de lixo, blog de arte, aquecedor de água, blog zeitgeist ao longo dos anos , Blog de recados e blog de sacolas de compras chamados. Tudo que está certo ... - e ainda assim não. O foco principal do blog é a arte contemporânea, no sentido mais amplo da palavra.

Para garantir o funcionamento do site, você está convidado a Faça uma doação por cartão de crédito, Paypal, Google Pay, Apple Pay ou débito direto/conta bancária. Muito obrigado a todos os leitores e apoiadores deste blog!
 

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com * marcado

As seguintes regras do GDPR devem ser lidas e aceitas:
Este formulário coleta seu nome, endereço de email e conteúdo para que possamos acompanhar os comentários no site. Você pode encontrar mais informações em nosso Política de Proteção de Dados, no qual você pode descobrir onde, como e por que armazenamos seus dados.

#Internet#Tecnologia#Telegrama#Conhecimento

Estamos sendo censurados!

Nosso conteúdo agora está totalmente censurado. Os principais motores de busca foram solicitados a remover nossos artigos de seus resultados. Fique conosco Telegrama em contato ou assine nossa newsletter.


Não, obrigado!