mmgp

В Telegram Passport обнаружены критические уязвимости

Virgil Security одной из первых занялась аудитом открытого исходного кода сервиса и первой сообщила о выявлении двух явных проблем в системе безопасности: некорректное шифрование данных и уязвимость механизма хранения информации.

«К сожалению, безопасность Telegram Passport нас разочаровала», — написал Алексей Ермишкин, ведущий криптограф из Virgil Security, в блоге компании.

В своем анонсе Passport команда Telegram обещала пользователям end-to-end шифрование данных и децентрализованное хранение информации в облаке, однако, согласно результатам исследования Virgil Security, Passport пока далек от совершенства.

Во-первых, облако для хранения не децентрализовано и хранится на данный момент на серверах компании. Как только миллионы пользователей начнут выгружать свои личные данные на сервис, Telegram мгновенно станет лакомым куском для хакеров и злоумышленников, которые смогут, при желании, воспользовавшись услугами инсайдера внутри компании, подключить к серверу простой USB-носитель с вирусом, производящим выгрузку данных.

Во-вторых, загружаемая в Passport информация не подписывается криптографическими ключами шифрования. Без цифровой подписи невозможно установить владельца данных, а также факт их неизменности. Ввиду данной уязвимости, хакер, оставшись незамеченным, с легкостью может изменить информацию частично или целиком.

«Сейчас, люди, услышав про «end-to-end шифрование», могут поверить в то, что при отправке данных третья сторона не сможет их расшифровать даже при желании. Но, в случае с Passport, «end-to-end» — это пока лишь красивая фраза, не имеющая под собой никаких гарантий безопасности».