Et lille internationalt forskningshold inden for informationssikkerhed har udført en detaljeret sikkerhedsanalyse på Telegram messenger, som er meget populær rundt om i verden. Kryptologerne ved ETH Zürich og Royal Holloway College (University of London) var i stand til at identificere flere sårbarheder. De fleste af de mere end 570 millioner Telegram-brugere er ikke i umiddelbar fare.
Involveret i denne undersøgelse af Telegrams krypteringstjenester var professor Kenny Paterson og Dr. Igors Stepanovs fra ETH Zürich og professor Martin Albrecht og ph.d.-studerende Lenka Mareková fra University of London. En ting skal siges med det samme: En detaljeret kryptografisk sikkerhedsanalyse fra en messenger af denne størrelse var mere end for sent. De fire kryptografiske svagheder fundet af kryptologerne gør det meget klart, at Telegram-systemet klart er ringere end sikkerhedsstandarderne for andre og ofte anvendte krypteringsprotokoller såsom Transport Layer Security (TLS).
Den første sårbarhed beskrevet her er, at angribere i netværket kan manipulere rækkefølgen af beskeder, der sendes fra klienten til en af de cloud-servere, der drives af Telegram på verdensplan. Kryptologerne ved ETH Zürich udtaler: "Så hvis nogen kan ændre rækkefølgen af beskederne 'Jeg er enig 'ja'?, 'Pizza!', 'Jeg er enig 'nej, enig, forbrydelse'', kan 'ja' sige ' ja til at spise pizza er pludselig blevet en forbrydelse." Den anden sårbarhed fundet under sikkerhedsanalysen er kun af teoretisk karakter, men den skal stadig nævnes. En netværksangriber kunne teoretisk set finde ud af, hvilken af to beskeder fra en klient eller fra en server der er krypteret. Det lyder ganske vist ret dramatisk i starten. Det ville dog betyde en enorm indsats for angribere at udnytte denne sårbarhed, der findes i sikkerhedsanalysen. Ifølge sikkerhedseksperterne skulle en angriber først sende millioner af omhyggeligt udformede beskeder til deres mål og bestemme de mindste forskelle i leveringstiden for de respektive svar. Forskerne er ikke desto mindre sikre på, at denne kryptografiske sårbarhed også skal tages alvorligt.
Hvis et sådant angreb lykkedes, ville det dog have ødelæggende konsekvenser for fortroligheden af Telegram-meddelelserne og selvfølgelig for deres brugere.
Den sidst fundne sårbarhed handler om den meget vigtige nøgleudveksling mellem brugerklient og Telegram-server. Da Telegram ikke leverer ende-til-ende-kryptering som standard, er denne forbindelse meget vigtig for enhver bruger af messenger-platformen. For hvis angrebet lykkedes, fandt kryptologerne ud af, at både fortroligheden og integriteten af vores kommunikation kunne blive permanent krænket. Forskerne siger dog også, at aktiv udnyttelse af denne sårbarhed ville være meget vanskelig:
Heldigvis er denne angrebsmetode også relativt vanskelig at implementere, da angriberen skulle sende milliarder af beskeder til en Telegram-server på få minutter.
Som sædvanligt informerede forskerteamet Messenger 90 dage før offentliggørelsen af de sikkerhedssårbarheder, de havde fundet. Telegram har nu reageret på de rapporterede sikkerhedsproblemer og løst dem med regelmæssige softwareopdateringer. Som allerede nævnt i starten er der ifølge eksperterne ingen umiddelbar fare for de fleste af de mere end 570 millioner Telegram-brugere over hele verden. Ifølge forskerne afslører hændelsen også en tvivlsom tilgang fra telegramudviklerne, når de lapper sådanne problemer. Citat (oversat) fra blogindlægget:
Vi er blevet informeret af Telegram-udviklerne om, at de ikke foretager nogen dedikerede sikkerheds- eller fejlrettelsesudgivelser. De eneste undtagelser er hotfixes til en tidligere fejlbehæftet opdatering. Udviklingsteamet informerede os også om, at de ikke udstedte nogen sikkerhedsanvisninger på tidspunktet for patchen, og at de ikke ønskede at forpligte sig til en udgivelsesdato for visse rettelser. Som en konsekvens blev rettelserne rullet ud som en del af de regelmæssige Telegram-opdateringer.
”Vi blev informeret af Telegram-udviklerne om, at de ikke udfører sikkerhed eller bugfix-udgivelser, undtagen øjeblikkelige rettelsesrettelser efter frigivelse. Udviklingsteamet informerede os også om, at de ikke ønskede at udstede sikkerhedsrådgivning på tidspunktet for patchen ... " https://t.co/2eETQyOwBg
- Nicholas J. Percoco (@ c7five) Juli 16, 2021
Ifølge Telegram selv var sårbarhederne ikke kritiske. Måske forklarer det også tilgangen til de førnævnte smuthuller. Telegram har også en mere Blogindlæg offentliggjortder går i detaljer med de problemer, der er identificeret.
Forresten kan du finde vores kanal på Telegram på: https://t.me/dravenstales