Технология Telegram, обещанная в ICO, уязвима к атакам - исследователи

Имея $1,7 млрд, привлеченных после своего первоначального предложения монет (ICO), Telegram выпустил свою первую дружественную к криптоплатежам функцию, но исследователи безопасности относятся к ней скептически.

Как было указано во вчерашней публикации в блоге, американский стартап обнаружил несколько недостатков в новом приложении для верификации, которое называется Passport. Хотя компания похвалила Telegram за публикацию API как открытого ресурса, что позволило другим экспертам проверить код, Virgil Security описали две проблемы, связанные с приложением: то, как оно кодирует данные, и то, как оно защищает хранимую информацию.

Их приверженность открытости предоставила возможность практикам по безопасности ознакомиться с их разработкой и, в идеальном варианте, помочь усовершенствовать ее,

- написал в блоге компании Алексей Ермишкин (Alexey Ermishkin) из Virgil Security, добавив:

К сожалению, безопасность Passport разочаровывает несколькими ключевыми моментами.

Telegram никогда публично не объявлял и не подтверждал существование своего ICO на миллиард долларов. Но когда в начале этого года начались утечки документации, стало понятно, что компания, более известная своим приложением для обмена сообщениями, поставила себе за цель конкурировать с различными сервисами - от обмена файлами до крипто-браузеров, который стартап уже предложил.

Дополнительно компанией планируется ввести в Telegram основанные на блокчейне платежи в приложении Telegram для обмена сообщениями, которое в последние годы становится все более популярным в криптосообществе.

Платежи и верификация идентичности находятся в смежных областях, что делает Passport естественным ранним предложением от компании. К тому же это влияет на таких разработчиков цифровых ID как Equifax, хранящих данные в централизованной базе данных, которые уязвимы для взломов и злоупотреблений, это в течение длительного времени было общей целью всего криптовалютного сообщества, поэтому это может быть хорошим стартом для Telegram.

В своем сообщении в блоге Telegram пообещал, что "ваши документы, удостоверяющие личность, и персональные данные будут храниться в облаке Telegram с использованием сквозного шифрования. Они закодированы с паролем, известным только вам, поэтому Telegram не имеет доступа к данным, которые вы храните в своем Telegram-паспорте".

Далее говорится, что в конечном итоге эти данные будут храниться в децентрализованный способ, а идентификация является одним из компонентов амбициозной и основанной на блокчейне системы, которую Telegram обещал в технической документации White Paper своего ICO.

Но несмотря на находки Virgil Security кажется, что Telegram следует вернуться к "чертежам" своего проекта и кое-что все-таки улучшить.

Грубая сила

Главная критика Passport со стороны Virgil Security состоит в том, как они шифруют свои пароли.

Во время объявления Passport Telegram выпустил значительный объем информации о том, как система работает. В частности, Virgil Security фокусируются на том, что Telegram использует SHA-512 для хеширования паролей.

Это 2018 год и один GPU высшего порядка может грубой силой проверять около 1,5 млрд хэшей SHA-512 в секунду,

- написали они.

Далее утверждается, что с достаточным количеством компьютеров эти пароли могут быть взломаны всего стоимостью от $135 до $6 каждый, в зависимости от силы пароля, которую выбрал пользователь.

Однако, для того, чтобы атакующие могли начать свою атаку, они сначала должны проникнуть собственно в Telegram, отметили Virgil:

Чтобы получить доступ к хэшам паролей, атака должна быть внутренней для Telegram. Способов, которыми это может произойти великое множество: от инсайдерской угрозы, фишинговой атаки к USB-флешки от мошенников и т. д.,

- сказал соучредитель Virgil Security Дмитрий Дейн (Dmitry Dain).

И если многие пользователи начнут использование и в свою очередь загрузят эти данные в Passport от Telegram - это превратит компанию в привлекательную цель.

Telegram давно критикуют за то, что они используют собственный подход к криптографии, а не общепризнанные стандарты. Тем не менее пока не было случаев, чтобы модель Telegram была бы взломана.

Данные без подписи

Другая опасность для пользователей, которую Virgil Security критикуют не так остро, это тот факт, что загруженные в Passport данные не имеют подписи.

Криптографически подписывая данные (что является неотъемлемой частью архитектуры блокчейна), пользователи могут быстро проверить, что данные были загружены тем человеком, который их загрузил, и они не были изменены.

Без криптографической подписи злоумышленник может изменить часть данных, и об этом никто не узнает.

Публикация Virgil Security утверждает:

Теперь, когда люди видят "сквозное шифрование" они считают, что их данные будут безопасно отправляться третьим лицам, не боясь того, что они будут расшифрованы или подделаны. К сожалению, пользователи Passport будут иметь ложное чувство уверенности.

Несмотря на критику Virgil Security и новизну продукта, Telegram должен относительно легко укрепить его безопасность (Virgil Security - один из самых известных провайдеров сквозного шифрования).