Поділитися цією статтею
BTC
$95,091.38
+
1.73%ETH
$1,806.13
+
2.30%USDT
$1.0008
+
0.04%XRP
$2.2018
-
0.08%BNB
$603.31
+
0.49%SOL
$152.47
+
0.78%USDC
$0.9999
-
0.00%DOGE
$0.1822
+
0.83%ADA
$0.7169
-
0.52%TRX
$0.2426
-
1.56%SUI
$3.5964
+
9.53%LINK
$15.07
+
0.87%AVAX
$22.49
+
1.05%XLM
$0.2861
+
2.62%HBAR
$0.1960
+
5.01%SHIB
$0.0₄1399
+
2.63%LEO
$8.9246
-
4.49%TON
$3.2193
+
1.25%BCH
$382.73
+
8.45%LTC
$86.93
+
3.80%Зареєструватися
- Повернутися до менюЦіни
- Повернутися до менюДослідження
- Повернутися до менюКонсенсус
- Повернутися до менюСпонсорський матеріал
- Повернутися до меню
- Повернутися до меню
- Повернутися до меню
- Повернутися до менюВебінари та Заходи
Дослідники кажуть, що технологія Telegram, обіцяна в ICO, вразлива до атак
Telegram випустив свою першу програму після ICO, але ця гра з ідентичністю збентежила дослідників безпеки.
Маючи в банку 1,7 мільярда доларів США після первинної пропозиції монет (ICO), Telegram випустив свою першу крипто-дружню функцію, але дослідники безпеки налаштовані скептично.
Як зазначено в публікації в блозі, опублікованій сьогодні, американський стартап Virgil Security виявив кілька слабких місць у новій програмі перевірки особи під назвою Passport. У той час як компанія похвалила Telegram за публікацію API програми як відкритого вихідного коду, що дозволяє перевіряти код іншим експертам, Virgil Security детально описує дві проблеми з додатком: як він шифрує дані та як він захищає збережені дані.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Long & Short вже сьогодні. Переглянути Всі Розсилки
«Їхня прихильність до відкритості дає фахівцям з безпеки можливість перевірити їх впровадження та, в ідеалі, допомогти покращити його», Олексій Ермішкін з Virgil Security написав у блог компанії, додавши:
«На жаль, безпека Passport розчаровує в кількох ключових аспектах».
Telegram ніколи публічно не повідомляв і не підтверджував існування свого мільярдного ICO. Але коли на початку цього року почався витік документів, стало зрозуміло, що компанія, більш відома своїм додатком для чату, прагне конкурувати з багатьма сервісами – від обміну файлами до зашифрованого перегляду – які вже пропонували Крипто .
Крім того, він хотів перенести платежі на основі блокчейну в додаток чату Telegram, який останніми роками став популярним серед Крипто спільноти.
Платежі та підтвердження особи йдуть рука об руку, що робить Passport природною ранньою пропозицією від компанії. Крім того, знищення існуючих постачальників цифрових ID , таких як Equifax, які KEEP дані в централізованих базах даних, уразливих до злому та зловживань, давно є спільною метою Криптовалюта спільноти, тому Telegram є доречним місцем для початку.
в його публікація в блозі Про новий продукт Telegram обіцяє, що «ваші документи, що засвідчують особу, і особисті дані зберігатимуться в хмарі Telegram за допомогою наскрізного шифрування. Воно зашифровано паролем, який знаєте лише ви, тому Telegram не має доступу до даних, які ви зберігаєте у своєму паспорті Telegram».
Далі обіцяють, що врешті-решт ці дані зберігатимуться децентралізовано. Ідентифікація була ONE із компонентів амбітної системи на основі блокчейну, яку обіцяв Telegram у своєму технічному документі ICO.
Але LOOKS з висновків Virgil Security, Telegram потрібно повернутися до креслярської дошки.
Груба сила
Головна критика Virgil Security щодо безпеки Passport полягає в тому, як він шифрує свої паролі.
Оголошуючи паспорт, Telegram опубліковано значний обсяг інформації про те, як працює система. Зокрема, Virgil Security акцентує увагу на тому, що Telegram використовує SHA-512 для хешування паролів.
«Це 2018 рік, і ONE графічний процесор верхнього рівня може перевірити грубою силою 1,5 мільярда хешів SHA-512 за секунду", - пишуть вони.
Далі йдеться про те, що за наявності достатньої кількості комп’ютерів ці паролі можна зламати за ціною від 135 до 5 доларів США за кожен, залежно від надійності паролів, які обирають користувачі.
Однак, перш ніж зловмисник зможе розпочати свою атаку, йому потрібно буде спочатку зламати сам Telegram, як визнає Вергілій.
«Щоб отримати доступ до хешів паролів, атака повинна бути внутрішньою для Telegram. Це може статися різними способами — інсайдерська загроза, spearphish, ONE шахрайський USB-накопичувач ETC», — сказав CoinDesk співзасновник Virgil Security Дмитро Дайн.
І якщо багато користувачів почнуть використовувати та, у свою чергу, завантажувати ці дані в паспорт Telegram, це зробить компанію дуже привабливою ціллю.
Telegram вже давно піддається критиці за те, що він забрав власний підхід до криптографії, а не покладатися на встановлені стандарти. Тим не менш, досі не було відомо, що модель Telegram була зламана.
Дані без підпису
Інша небезпека для користувачів, яку критикує Virgil Security, BIT більш нюансована: той факт, що дані, завантажені в Passport, T підписані.
За допомогою криптографічного підпису даних (загалом невід’ємної частини архітектури блокчейну) користувачі можуть швидко перевірити, чи дані були завантажені туди особою, яка стверджувала, що їх завантажила, і вони T були змінені.
Без криптографічного підпису зловмисник може змінити частину даних, і ONE про це не дізнається.
Допис Virgil Security стверджує:
«Тепер, коли люди бачать «наскрізне шифрування», вони вірять, що їхні дані будуть безпечно надіслані третій стороні, не турбуючись про те, що вони будуть розшифровані чи підроблені. На жаль, користувачі Passport матимуть помилкове відчуття впевненості».
Проте, з огляду на критику Virgil Security і новизну продукту, для Telegram має бути відносно просто посилити свою безпеку (Virgil Security є ONE із постачальників наскрізного шифрування).
Telegram не відразу відповів на Request про коментар.
Зламаний замок зображення через ShutterStock
