Ett litet internationellt forskningsteam för informationssäkerhet har genomfört en djupgående säkerhetsanalys av den globalt populära Telegram-budbäraren. Kryptologerna från ETH Zürich och Royal Holloway College (University of London) kunde identifiera flera sårbarheter. Det finns dock ingen omedelbar fara för de flesta av de mer än 570 miljoner Telegram-användarna.
Deltagare i denna studie av Telegrams krypteringstjänster var professor Kenny Paterson och Dr. Igors Stepanovs från ETH Zürich och professor Martin Albrecht och doktorand Lenka Mareková från University of London. En sak bör sägas omedelbart: En detaljerad kryptografisk säkerhetsanalys av en budbärare av denna storlek var mer än försenad. De fyra kryptografiska sårbarheter som hittats av kryptologerna gör det mycket tydligt att Telegrams system är klart sämre än säkerhetsstandarderna för andra och ofta använda krypteringsprotokoll som Transport Layer Security (TLS).
Den första sårbarheten som beskrivs här är att angripare i nätverket kan manipulera sekvensen av meddelanden som skickas från klienten till en av molnservrarna som drivs av Telegram över hela världen. Kryptologerna vid ETH Zürich säger: "Så om någon kan ändra ordningen på meddelandena 'jag håller med' ja'?, 'pizza!', 'jag håller med 'nej, håller med, brott'', kan 'ja' säga 'ja' ja till att äta pizza har plötsligt blivit ett brott." Den andra sårbarheten som hittades under säkerhetsanalysen är endast av teoretisk karaktär, men den måste ändå nämnas. En nätverksangripare kan teoretiskt ta reda på vilket av två meddelanden från en klient eller från en server som är krypterad. Visserligen låter det ganska dramatiskt till en början. Det skulle dock innebära en enorm ansträngning för angripare att utnyttja denna sårbarhet som finns i säkerhetsanalysen. Enligt säkerhetsexperterna skulle en angripare först behöva skicka miljontals noggrant utformade meddelanden till sitt mål och fastställa de minsta skillnaderna i leveranstiden för respektive svar. Forskarna är ändå säkra på att denna kryptografiska sårbarhet också måste tas på allvar.
Men om en sådan attack skulle lyckas, skulle det få förödande konsekvenser för telegrammeddelandens konfidentialitet och, naturligtvis, för deras användare.
Den senaste sårbarheten som hittades handlar om det mycket viktiga nyckelutbytet mellan användarklienten och Telegram-servern. Eftersom Telegram inte tillhandahåller end-to-end-kryptering som standard, är denna anslutning mycket viktig för varje användare av messenger-plattformen. För om attacken lyckades, fick kryptologerna reda på att både sekretessen och integriteten för vår kommunikation kunde kränkas permanent. Men forskarna säger också att det skulle vara mycket svårt att aktivt utnyttja denna sårbarhet:
Lyckligtvis är denna attackmetod också relativt svår att genomföra, eftersom angriparen skulle behöva skicka miljarder meddelanden till en Telegram-server på några minuter.
Som vanligt informerade forskargruppen budbäraren 90 dagar före publiceringen om säkerhetsluckor de hade hittat. Telegram har nu reagerat på de rapporterade säkerhetsproblemen och fixat dem med regelbundna mjukvaruuppdateringar. Som nämndes i början, enligt experterna, är det ingen omedelbar fara för de flesta av de mer än 570 miljoner Telegram-användarna världen över. Enligt forskarna avslöjar händelsen också ett tvivelaktigt tillvägagångssätt från Telegram-utvecklare för att korrigera sådana problem. Citat (översatt) från blogginlägget:
Vi har informerats av Telegram-utvecklarna att de inte gör några dedikerade säkerhets- eller buggfixutgåvor. Det enda undantaget är snabbkorrigeringar för en tidigare felaktig uppdatering. Utvecklingsteamet informerade oss också om att de inte ville ge ut säkerhetsrådgivning vid tidpunkten för patchningen, och de ville inte heller förbinda sig till ett releasedatum för specifika korrigeringar. Som en konsekvens rullades korrigeringarna ut som en del av de vanliga Telegram-uppdateringarna.
"Vi blev informerade av Telegram-utvecklarna att de inte gör säkerhets- eller bugfixutgåvor förutom omedelbara kraschfixar efter utgivningen. Utvecklingsteamet informerade oss också om att de inte ville ge ut säkerhetsrådgivning vid tidpunkten för patchningen..." https://t.co/2eETQyOwBg
— Nicholas J Percoco (@c7five) Juli 16, 2021
Enligt Telegram självt var sårbarheterna inte kritiska. Kanske förklarar det också proceduren för de nämnda luckorna. Telegram har en till publicerat blogginlägg, som går in i detalj om de problem som upptäckts.
Du hittar vår kanal på Telegram på: https://t.me/dravenstales
Mer till dig:
"Dravens Tales from the Crypt" har varit förtrollande i över 15 år med en smaklös blandning av humor, seriös journalistik – för aktuella händelser och obalanserad rapportering i presspolitiken – och zombies, garnerad med massor av konst, underhållning och punkrock. Draven har gjort sin hobby till ett populärt varumärke som inte kan klassificeras.
Min blogg var aldrig designad för att sprida nyheter, än mindre bli politisk, men med aktualiteter kan jag bara inte låta bli att fånga upp information här som annars är censurerad på alla andra kanaler. Jag är medveten om att designsidan kanske inte verkar "seriös" för många i detta avseende, men jag kommer inte att ändra detta för att tillfredsställa "mainstream". Den som är öppen för icke-statskonform information ser innehållet och inte förpackningen. Jag har försökt tillräckligt med att förse folk med information under de senaste 2 åren, men märkte snabbt att det aldrig spelar någon roll hur det är "paketerat", utan vad den andra personens inställning till det är. Jag vill inte lägga honung på någons mun för att möta förväntningarna på något sätt, så jag kommer att behålla den här designen för förhoppningsvis kommer jag någon gång att kunna sluta göra dessa politiska uttalanden, för det är inte mitt mål att fortsätta så här för alltid 
Jag lämnar upp till var och en hur de hanterar det. Du är välkommen att kopiera och distribuera innehållet, min blogg har alltid legat under WTFPL-licens.
Jag tycker det är svårt att beskriva vad jag faktiskt gör här, DravensTales har blivit en kulturblogg, musikblogg, chockblogg, techblogg, skräckblogg, rolig blogg, en blogg om hittade artiklar på internet, internet bisarr, skräpblogg, konstblogg, varmvattenberedare, zeitgeist blogg genom åren , Skrotblogg och greppväska blogg kallas. Allt som är rätt ... - och ändå inte. Huvudfokus för bloggen är samtida konst i ordets vidaste bemärkelse.
För att säkerställa driften av sajten är du välkommen att Gör en donation med kreditkort, Paypal, Google Pay, Apple Pay eller direktdebitering/bankkonto. Stort tack till alla läsare och supportrar av denna blogg!
