13 ноября 2024

eur = 104.25 -0.60 (-0.57 %)

btc = 87 988.00$ 1 742.01 (2.02 %)

eth = 3 168.81$ -97.00 (-2.97 %)

ton = 5.29$ 0.05 (0.87 %)

usd = 97.96 0.00 (0.00 %)

eur = 104.25 -0.60 (-0.57 %)

btc = 87 988.00$ 1 742.01 (2.02 %)

Форум

Криптографы обнаружили четыре уязвимости в протоколе шифрования Telegram

2 минуты на чтение
Криптографы обнаружили четыре уязвимости в протоколе шифрования Telegram

Читать первым в Telegram-канале «Код Дурова»

Международная группа криптографов обнаружила четыре криптографические уязвимости в MTProto, который Telegram использует для шифрования. Об уязвимостях исследователи сообщили Telegram 16 апреля 2021 года и договорились сохранить информацию в секрете до 16 июля, чтобы разработчики успели всё исправить.

Все они уже исправлены разработчиками мессенджера. В Telegram также напомнили, что готовы платить от $100 до $100 000 за уязвимости и баги.

Как поясняется в опубликованном документе, непосредственный риск всех уязвимостей невелик, поскольку их реализация практически невозможна на практике.

Но в конечном итоге они доказывают, что ключевые вопросы безопасности в Telegram можно было бы решить лучше, безопаснее и надёжнее, если бы сервис использовал стандартный подход к криптографии, – заявил профессор Швейцарской высшей технической школы в Цюрихе Кенни Патерсон, принимавший участие в исследовании.

Мессенджер Telegram полагается на собственный протокол шифрования MTProto, а не более распространённый Transport Layer Security. Ранее некоторые исследователи уже скептически высказывались об отношении к MTProto и нынешнее исследование подтверждает, что протокол не лишён недостатков.

Для большинства пользователей непосредственный риск невелик, но эти уязвимости подчёркивают, что Telegram не соответствует криптографическим гарантиям, которые обеспечивают другие распространённые криптографические протоколы, — говорится в заявлении исследователей.

Наиболее серьёзная из обнаруженных уязвимостей получила от криптографов название «криминальная пицца». Теоретически, она позволяет злоумышленника манипулировать последовательностью сообщений, поступающих от клиента на один из облачных серверов Telegram.

В качестве примера её использования, эксперты приводят гипотетическую ситуацию, когда человек одобряет пиццу и негативно высказывается о преступлении. Изменения порядка сообщений даёт шанс выставить всё таким образом, будто человек поощряет преступление.

Вторая уязвимость позволяет злоумышленнику определить, зашифровано сообщение клиентом или сервером.

Третья уязвимость была обнаружена в несовершенном коде клиентов Android и iOS, а также десктопной версии. Она позволяла обойти одну из ступеней защиты. Однако, эксперты не нашли способа использовать это для расшифровки сообщений. Как объясняют разработчики Telegram: Представьте себе дверь с несколькими замками, вам удалось открыть один из них, но дверь, скрывающая ваши сообщения – всё ещё под защитой остальных двух.

Четвёртая уязвимость позволяла перехватить сообщения, вмешиваясь в протокол передачи данных, методом «человек посередине» (MITM) на этапе согласования ключей между клиентом и сервером. Однако, для реализации этого требовалась отправка миллиарда сообщений в течение короткого времени на сервер Telegram.

В конечном счёте, как уже ранее отмечалось, все озвученные выше уязвимости не представляли для большинства пользователей опасности из-за нереализуемых условий, к тому же все они на текущий момент уже исправлены разработчиками мессенджера.

Сейчас читают

Картина дня

12 ноября, 2024
12 ноября, 202410 минут на чтение
Фото Иван Шевелев
Иван Шевелев
10 минут на чтение
[ Новости ]
[ Статьи ]
Личный опыт работы
Блоги 292