Ett litet internationellt forskningsteam för informationssäkerhet har genomfört en djupgående säkerhetsanalys av den globalt populära Telegram-budbäraren. Kryptologerna från ETH Zürich och Royal Holloway College (University of London) kunde identifiera flera sårbarheter. Det finns dock ingen omedelbar fara för de flesta av de mer än 570 miljoner Telegram-användarna.
Deltagare i denna studie av Telegrams krypteringstjänster var professor Kenny Paterson och Dr. Igors Stepanovs från ETH Zürich och professor Martin Albrecht och doktorand Lenka Mareková från University of London. En sak bör sägas omedelbart: En detaljerad kryptografisk säkerhetsanalys av en budbärare av denna storlek var mer än försenad. De fyra kryptografiska sårbarheter som hittats av kryptologerna gör det mycket tydligt att Telegrams system är klart sämre än säkerhetsstandarderna för andra och ofta använda krypteringsprotokoll som Transport Layer Security (TLS).
Den första sårbarheten som beskrivs här är att angripare i nätverket kan manipulera sekvensen av meddelanden som skickas från klienten till en av molnservrarna som drivs av Telegram över hela världen. Kryptologerna vid ETH Zürich säger: "Så om någon kan ändra ordningen på meddelandena 'jag håller med' ja'?, 'pizza!', 'jag håller med 'nej, håller med, brott'', kan 'ja' säga 'ja' ja till att äta pizza har plötsligt blivit ett brott." Den andra sårbarheten som hittades under säkerhetsanalysen är endast av teoretisk karaktär, men den måste ändå nämnas. En nätverksangripare kan teoretiskt ta reda på vilket av två meddelanden från en klient eller från en server som är krypterad. Visserligen låter det ganska dramatiskt till en början. Det skulle dock innebära en enorm ansträngning för angripare att utnyttja denna sårbarhet som finns i säkerhetsanalysen. Enligt säkerhetsexperterna skulle en angripare först behöva skicka miljontals noggrant utformade meddelanden till sitt mål och fastställa de minsta skillnaderna i leveranstiden för respektive svar. Forskarna är ändå säkra på att denna kryptografiska sårbarhet också måste tas på allvar.
Men om en sådan attack skulle lyckas, skulle det få förödande konsekvenser för telegrammeddelandens konfidentialitet och, naturligtvis, för deras användare.
Den senaste sårbarheten som hittades handlar om det mycket viktiga nyckelutbytet mellan användarklienten och Telegram-servern. Eftersom Telegram inte tillhandahåller end-to-end-kryptering som standard, är denna anslutning mycket viktig för varje användare av messenger-plattformen. För om attacken lyckades, fick kryptologerna reda på att både sekretessen och integriteten för vår kommunikation kunde kränkas permanent. Men forskarna säger också att det skulle vara mycket svårt att aktivt utnyttja denna sårbarhet:
Lyckligtvis är denna attackmetod också relativt svår att genomföra, eftersom angriparen skulle behöva skicka miljarder meddelanden till en Telegram-server på några minuter.
Som vanligt informerade forskargruppen budbäraren 90 dagar före publiceringen om säkerhetsluckor de hade hittat. Telegram har nu reagerat på de rapporterade säkerhetsproblemen och fixat dem med regelbundna mjukvaruuppdateringar. Som nämndes i början, enligt experterna, är det ingen omedelbar fara för de flesta av de mer än 570 miljoner Telegram-användarna världen över. Enligt forskarna avslöjar händelsen också ett tvivelaktigt tillvägagångssätt från Telegram-utvecklare för att korrigera sådana problem. Citat (översatt) från blogginlägget:
Vi har informerats av Telegram-utvecklarna att de inte gör några dedikerade säkerhets- eller buggfixutgåvor. Det enda undantaget är snabbkorrigeringar för en tidigare felaktig uppdatering. Utvecklingsteamet informerade oss också om att de inte ville ge ut säkerhetsrådgivning vid tidpunkten för patchningen, och de ville inte heller förbinda sig till ett releasedatum för specifika korrigeringar. Som en konsekvens rullades korrigeringarna ut som en del av de vanliga Telegram-uppdateringarna.
"Vi blev informerade av Telegram-utvecklarna att de inte gör säkerhets- eller bugfixutgåvor förutom omedelbara kraschfixar efter utgivningen. Utvecklingsteamet informerade oss också om att de inte ville ge ut säkerhetsrådgivning vid tidpunkten för patchningen..." https://t.co/2eETQyOwBg
— Nicholas J Percoco (@c7five) Juli 16, 2021
Enligt Telegram självt var sårbarheterna inte kritiska. Kanske förklarar det också proceduren för de nämnda luckorna. Telegram har en till publicerat blogginlägg, som går in i detalj om de problem som upptäckts.
Du hittar vår kanal på Telegram på: https://t.me/dravenstales