Sikkerhedsanalyse ved Telegram: kryptografiske sårbarheder fundet

Et lille internationalt forskningshold inden for informationssikkerhed har udført en detaljeret sikkerhedsanalyse på Telegram messenger, som er meget populær rundt om i verden. Kryptologerne ved ETH Zürich og Royal Holloway College (University of London) var i stand til at identificere flere sårbarheder. De fleste af de mere end 570 millioner Telegram-brugere er ikke i umiddelbar fare.

Sikkerhedsanalyse ved Telegram: kryptografiske sårbarheder fundet

Involveret i denne undersøgelse af Telegrams krypteringstjenester var professor Kenny Paterson og Dr. Igors Stepanovs fra ETH Zürich og professor Martin Albrecht og ph.d.-studerende Lenka Mareková fra University of London. En ting skal siges med det samme: En detaljeret kryptografisk sikkerhedsanalyse fra en messenger af denne størrelse var mere end for sent. De fire kryptografiske svagheder fundet af kryptologerne gør det meget klart, at Telegram-systemet klart er ringere end sikkerhedsstandarderne for andre og ofte anvendte krypteringsprotokoller såsom Transport Layer Security (TLS).

Den første sårbarhed beskrevet her er, at angribere i netværket kan manipulere rækkefølgen af ​​beskeder, der sendes fra klienten til en af ​​de cloud-servere, der drives af Telegram på verdensplan. Kryptologerne ved ETH Zürich udtaler: "Så hvis nogen kan ændre rækkefølgen af ​​beskederne 'Jeg er enig 'ja'?, 'Pizza!', 'Jeg er enig 'nej, enig, forbrydelse'', kan 'ja' sige ' ja til at spise pizza er pludselig blevet en forbrydelse." Den anden sårbarhed fundet under sikkerhedsanalysen er kun af teoretisk karakter, men den skal stadig nævnes. En netværksangriber kunne teoretisk set finde ud af, hvilken af ​​to beskeder fra en klient eller fra en server der er krypteret. Det lyder ganske vist ret dramatisk i starten. Det ville dog betyde en enorm indsats for angribere at udnytte denne sårbarhed, der findes i sikkerhedsanalysen. Ifølge sikkerhedseksperterne skulle en angriber først sende millioner af omhyggeligt udformede beskeder til deres mål og bestemme de mindste forskelle i leveringstiden for de respektive svar. Forskerne er ikke desto mindre sikre på, at denne kryptografiske sårbarhed også skal tages alvorligt.

Hvis et sådant angreb lykkedes, ville det dog have ødelæggende konsekvenser for fortroligheden af ​​Telegram-meddelelserne og selvfølgelig for deres brugere.

Den sidst fundne sårbarhed handler om den meget vigtige nøgleudveksling mellem brugerklient og Telegram-server. Da Telegram ikke leverer ende-til-ende-kryptering som standard, er denne forbindelse meget vigtig for enhver bruger af messenger-platformen. For hvis angrebet lykkedes, fandt kryptologerne ud af, at både fortroligheden og integriteten af ​​vores kommunikation kunne blive permanent krænket. Forskerne siger dog også, at aktiv udnyttelse af denne sårbarhed ville være meget vanskelig:

Heldigvis er denne angrebsmetode også relativt vanskelig at implementere, da angriberen skulle sende milliarder af beskeder til en Telegram-server på få minutter.

Som sædvanligt informerede forskerteamet Messenger 90 dage før offentliggørelsen af ​​de sikkerhedssårbarheder, de havde fundet. Telegram har nu reageret på de rapporterede sikkerhedsproblemer og løst dem med regelmæssige softwareopdateringer. Som allerede nævnt i starten er der ifølge eksperterne ingen umiddelbar fare for de fleste af de mere end 570 millioner Telegram-brugere over hele verden. Ifølge forskerne afslører hændelsen også en tvivlsom tilgang fra telegramudviklerne, når de lapper sådanne problemer. Citat (oversat) fra blogindlægget:

Vi er blevet informeret af Telegram-udviklerne om, at de ikke foretager nogen dedikerede sikkerheds- eller fejlrettelsesudgivelser. De eneste undtagelser er hotfixes til en tidligere fejlbehæftet opdatering. Udviklingsteamet informerede os også om, at de ikke udstedte nogen sikkerhedsanvisninger på tidspunktet for patchen, og at de ikke ønskede at forpligte sig til en udgivelsesdato for visse rettelser. Som en konsekvens blev rettelserne rullet ud som en del af de regelmæssige Telegram-opdateringer.

Ifølge Telegram selv var sårbarhederne ikke kritiske. Måske forklarer det også tilgangen til de førnævnte smuthuller. Telegram har også en mere Blogindlæg offentliggjortder går i detaljer med de problemer, der er identificeret.

Forresten kan du finde vores kanal på Telegram på: https://t.me/dravenstales

For jeg bliver altid spurgt, hvad den nemmeste måde at investere i Bitcoin er: med appen relæ Det kan gøres med få trin og uden kompliceret registrering. Ingen har adgang til din Bitcoin undtagen dig. Med henvisningskoden REL105548 Dine gebyrer vil blive reduceret med 0,5 %.

Psst, følg os upåfaldende!

Mere til dig:

Støt os!

 
"Dravens Tales from the Crypt" har været fortryllende i over 15 år med en usmagelig blanding af humor, seriøs journalistik - til aktuelle begivenheder og ubalanceret rapportering i pressens politik - og zombier, garneret med masser af kunst, underholdning og punkrock. Draven har forvandlet sin hobby til et populært mærke, der ikke kan klassificeres.

Min blog var aldrig designet til at sprede nyheder, endsige blive politisk, men med aktualitet kan jeg bare ikke lade være med at fange information her, som ellers er censureret på alle andre kanaler. Jeg er klar over, at designsiden måske ikke virker "seriøs" for mange i denne henseende, men jeg vil ikke ændre dette for at glæde "mainstream". Enhver, der er åben for ikke-statsoverensstemmende oplysninger, ser indholdet og ikke emballagen. Jeg har forsøgt nok at give folk information de sidste 2 år, men bemærkede hurtigt, at det aldrig er ligegyldigt, hvordan det er "pakket", men hvad den anden persons holdning til det er. Jeg vil ikke lægge honning på nogens mund for at leve op til forventningerne på nogen måde, så jeg vil beholde dette design, fordi jeg forhåbentlig på et tidspunkt vil være i stand til at holde op med at komme med disse politiske udtalelser, for det er ikke mit mål at fortsætte sådan for evigt ;) Jeg lader det være op til enhver, hvordan de håndterer det. Du er velkommen til at kopiere og distribuere indholdet, min blog har altid ligget under WTFPL licens.

Det er svært for mig at beskrive, hvad jeg rent faktisk laver her, DravensTales er blevet en kulturblog, musikblog, chokblog, techblog, horrorblog, sjovblog, en blog om fundne genstande på internettet, internetbizar, papirkurvblog, kunstblog, vandvarmer, tidsåndsblog gennem årene , Skrot blog og grab taske blog kaldet. Alt der er rigtigt ... - og alligevel ikke. Blogens hovedfokus er samtidskunst i ordets bredeste forstand.

For at sikre driften af ​​siden er du velkommen til Giv en donation med kreditkort, Paypal, Google Pay, Apple Pay eller direkte debitering/bankkonto. Mange tak til alle læsere og støtter af denne blog!
 

Efterlad en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret med * markeret

Følgende GDPR-regler skal læses og accepteres:
Denne formular indsamler dit navn, din e-mail-adresse og dit indhold, så vi kan følge kommentarerne på hjemmesiden. Du kan finde flere oplysninger i vores PRIVATLIVSPOLITIK, hvor du kan finde ud af, hvor, hvordan og hvorfor vi gemmer dine data.

#Internet#Teknologi#Telegram#Viden

Vi bliver censureret!

Vores indhold er nu fuldstændig censureret. De store søgemaskiner blev bedt om at fjerne vores artikler fra deres resultater. Bliv hos os Telegram i kontakt eller tilmeld dig vores nyhedsbrev.


Nej tak!