В Telegram Passport обнаружены критические уязвимости

0
ПОДЕЛИТЬСЯ

Стартап Virgil Security, занимающийся обеспечением кибербезопасности, выявил несколько уязвимостей в новом приложении для удостоверения личности, Telegram Passport. По итогам исследований, эксперты настроены скептически, относительно будущих разработок Telegram Open Network.


Планы о запуске приложения Passport для авторизации пользователей были анонсированы разработчиками Telegram во время проведения ICO, во время которого компания привлекла рекордное количество инвестиций — $1,7 млрд. 29 июня команда мессенджера представила новый сервис для хранения и безопасной отправки документов, изучением которого тут же занялись хакеры и специалисты по цифровой безопасности.

Virgil Security одной из первых занялась аудитом открытого исходного кода сервиса и  первой сообщила о выявлении двух явных проблем в системе безопасности: некорректное шифрование данных и уязвимость механизма хранения информации.

«К сожалению, безопасность Telegram Passport нас разочаровала»,  — написал Алексей Ермишкин, ведущий криптограф из Virgil Security, в блоге компании.

В своем анонсе Passport команда Telegram обещала пользователям end-to-end шифрование данных и децентрализованное хранение информации в облаке, однако, согласно результатам исследования Virgil Security, Passport пока далек от совершенства.

Во-первых, облако для хранения не децентрализовано и хранится на данный момент на серверах компании. Как только миллионы пользователей начнут выгружать свои личные данные на сервис, Telegram мгновенно станет лакомым куском для хакеров и злоумышленников, которые смогут, при желании, воспользовавшись услугами инсайдера внутри компании, подключить к серверу простой USB-носитель с вирусом, производящим выгрузку данных.

Во-вторых, загружаемая в Passport информация не подписывается криптографическими ключами шифрования. Без цифровой подписи невозможно установить владельца данных, а также факт их неизменности. Ввиду данной уязвимости, хакер, оставшись незамеченным, с легкостью может изменить информацию частично или целиком.

«Сейчас, люди, услышав про «end-to-end шифрование», могут поверить в то, что при отправке данных третья сторона не сможет их расшифровать даже при желании. Но, в случае с Passport, «end-to-end» — это пока лишь красивая фраза, не имеющая под собой никаких гарантий безопасности».

Подписывайтесь на Bitnovosti в telegram!

Делитесь вашим мнением об этой новости в комментариях ниже.

Источник

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here