Tecnologia do Telegram prometida em ICO é vulnerável a ataques, dizem pesquisadores

Com US$ 1,7 bilhão no banco após sua oferta inicial de moeda (ICO), o Telegram lançou seu primeiro recurso amigável a criptomoedas – mas pesquisadores de segurança estão céticos.

Conforme detalhado em uma postagem de blog publicada hoje, a Virgil Security, uma startup sediada nos EUA, identificou várias fraquezas no novo aplicativo de verificação de identidade, chamado Passport. Enquanto a empresa elogiou o Telegram por publicar a API do aplicativo como código aberto, permitindo que o código fosse verificado por outros especialistas, a Virgil Security detalhou dois problemas com o aplicativo: como ele criptografa os dados e como ele protege os dados armazenados.

“Seu compromisso com a abertura dá aos profissionais de segurança a oportunidade de revisar sua implementação e, idealmente, ajudar a melhorá-la”, escreveu Alexey Ermishkin da Virgil Security emo blog da empresa, acrescentando:

"Infelizmente, a segurança do Passport decepciona em vários aspectos importantes."

O Telegram nunca anunciou ou verificou publicamente a existência de seu ICO bilionário. Mas, conforme os documentos começaram a vazar no início deste ano, ficou claro que a empresa, mais amplamente conhecida por seu aplicativo de bate-papo, visava competir com muitos dos serviços – de compartilhamento de arquivos a navegação criptografada – que as startups de Cripto já haviam proposto.

Além disso, a empresa queria levar pagamentos baseados em blockchain para o aplicativo de bate-papo Telegram, que nos últimos anos se tornou popular entre a comunidade de Cripto .

Pagamentos e verificação de identidade andam de mãos dadas, tornando o Passport uma oferta inicial natural da empresa. Além disso, interromper os titulares de ID digital como a Equifax, que KEEP dados em bancos de dados centralizados vulneráveis ​​a violações e abusos, tem sido um objetivo compartilhado da comunidade de Criptomoeda há muito tempo, então é um lugar adequado para o Telegram começar.

Em sua postagem de blogsobre o novo produto, o Telegram promete que "seus documentos de identidade e dados pessoais serão armazenados na nuvem do Telegram usando criptografia de ponta a ponta. Ele é criptografado com uma senha que só você sabe, então o Telegram não tem acesso aos dados que você armazena em seu passaporte do Telegram."

Ele continua prometendo que, eventualmente, esses dados serão armazenados de forma descentralizada. A identidade era um dos componentes do ambicioso sistema baseado em blockchain que o Telegram prometeu. em seu whitepaper técnico da ICO.

Mas, a LOOKS pelas descobertas da Virgil Security, o Telegram precisa voltar à prancheta.

Força bruta

A principal crítica da Virgil Security à segurança do Passport é a maneira como ele criptografa suas senhas.

Ao anunciar o Passport,Telegrama lançadouma quantidade considerável de informações sobre como o sistema funciona. Em particular, a Virgil Security foca no fato de que o Telegram usa SHA-512 para fazer hash de senhas.

"Estamos em 2018 e uma GPU de alto nível pode fazer uma verificação de força bruta sobre 1,5 bilhão de hashes SHA-512por segundo", eles escrevem.

Ele continua estimando que, com computadores suficientes, essas senhas poderiam ser descobertas por algo entre US$ 135 e US$ 5 cada, dependendo da força das senhas escolhidas pelos usuários.

No entanto, antes que um invasor pudesse iniciar seu ataque, ele precisaria primeiro violar o próprio Telegram, como Virgil reconhece.

"Para acessar os hashes de senha, o ataque teria que ser interno ao Telegram. As maneiras pelas quais isso poderia acontecer são inúmeras — ameaça interna, spearphish, um pendrive USB desonesto, ETC", disse o cofundador da Virgil Security, Dmitry Dain, ao CoinDesk.

E se muitos usuários começarem a usar e, por sua vez, carregar esses dados no Passaporte do Telegram, isso tornará a empresa um alvo muito atraente.

O Telegram tem sido criticado há muito tempo por tomarsua própria abordagem à criptografia, em vez de confiar em padrões estabelecidos. Dito isso, o modelo do Telegram não é conhecido por ter sido quebrado até agora.

Dados não assinados

O outro perigo para os usuários que a Virgil Security critica é um BIT mais sutil: o fato de que os dados enviados para o Passport T são assinados.

Ao assinar criptograficamente os dados (uma parte integrante da arquitetura de blockchain em geral), os usuários podem verificar rapidamente se os dados foram carregados ali pela pessoa que alegou tê-los carregado e se eles T foram alterados.

Sem uma assinatura criptográfica, um invasor poderia alterar alguma parte dos dados e ONE saberia.

A postagem de Virgil Security argumenta:

"Agora, quando as pessoas veem 'criptografado de ponta a ponta', elas acreditam que seus dados serão enviados com segurança a terceiros sem preocupações de serem descriptografados ou adulterados. Infelizmente, os usuários do Passport terão uma falsa sensação de confiança."

No entanto, com as críticas da Virgil Security e a novidade do produto, deve ser relativamente simples para o Telegram reforçar sua segurança (a Virgil Security é uma provedora de criptografia de ponta a ponta).

O Telegram não respondeu imediatamente a um Request de comentário.

Fechadura quebradaimagem via ShutterStock