Serviciul Telegram Passport este un instrument de identificare personală lansat recent de Compania Telegram, care permite criptarea datelor de identificare ale utilizatorilor. Astfel acestea pot fi transmise securizat unor terți precum ICO-uri sau portofele digitale, respectând legislația KYC (know-your-customer).
Dezvoltatorul de software criptografic Virgil Security Inc publică însă un raport din care reiese că acest instrument este vulnerabil la atacuri de forță brută. Acest fapt generează vulnerabilități când vine vorba despre protecția parolelor utilizate.
Serviciul Telegram Passport
Stochează datele clienților în cloud, utilizând criptare end-to-end, tranferându-le într-un alt cloud descentralizat, care nu poate decripta datele personale.
Virgil Security afirmă însă că algoritmul de criptare folosit, SHA-512, nu este suficient de sigur pentru criptarea parolelor. Aceasta deoarece este vulnerabil la atacuri de forță brută chiar dacă folosește sistemul ”salted”. El constă în adăugarea de valori aleatorii la finalul parolei pentru a genera protecție suplimentară aplicației Passport.
Când un utilizator își criptează datele personale, acestea sunt transmise în cloud la aplicația Telegram. Dacă se dorește confirmarea autenticității către terțe părți, datele sunt decriptate și re-criptate pentru a include credențialele pentru serviciul respectiv. Acești factori contribuie la crearea de vulnerabilități în cazul unui atac:
”Securitatea datelor uploadate pe Telegram Cloud se bazează în cea mai mare parte pe puterea parolei, deoarece atacurile de forță brută se pot realiza ușor asupra algoritmului de hash utilizate. Absența semnăturii digitale permite ca datele să fie modificate fără ca utilizatorul sau destinatarul să aibă posibilitatea să observe acest lucru”
atrage atenția raportul Virgil Security.
Cu toate acestea, analiza de securitate sublinază că un atac asupra datelor din cloud se poate realiza doar dacă platforma în sine este compromisă:
”Pentru a accesa sistemul de criptare a parolelor, atacul ar trebui să aibă loc din interiorul Telegram. Asta presupune un angajat cu acces, un stick USB neverificat sau alte metode similare”.
Până în pezent, Telegram nu s-a dovedit vulnerabil la atacuri, mai ales că a optat să utilizeze propriile metode criptografice în loc să se bazeze pe standarde existente.
Cu toate acestea
Serviciul Telegram Passport va genera un număr mare de utilizatori care își stochează datele personale pe platformă. Acest fapt va crește riscurile unui atac.
Este de așteptat ca dezvoltatorii din spatele Telegram să implementeze soluții de eliminare a vulnerabilităților. Asta mai ales că dispun de fondurile necesare pentru implementarea acestora. ICO-ul Telegram a reușit să acumuleze 1.7 miliarde de dolari doar din pre-sale.