Недавно запущенный новый инструмент авторизации в приложении Telegram с использованием персонализированной идентификации Telegram Passport оказался уязвимым для хакеров. Об этом заявили специалисты компании Virgil Security Inc, специализирующейся на разработке программного обеспечения, в отчете 1 августа.
26 июля популярный мессенджер презентовал Telegram Passport, предназначенный для шифрования сведений персональной идентификации пользователей с последующим самостоятельным использованием их для участия в ICO, взаимодействия с криптоторговыми площадками, цифровыми кошельками и прочими проектами, соблюдающими требования KYC.
Данные пользователей хранятся в облаке Telegram, защищенные посредством сквозного шифрования, впоследствии переходя на децентрализованное облачное хранение. Однако результаты проведенных исследований Virgil Security Inc заставили специалистов компании усомниться в безопасности хранения информации.
Дело в том, что используемый Telegram алгоритм хэширования SHA-512 не предназначен для хэш-паролей. Как заявляют исследователи, этот алгоритм оставляет пароли уязвимыми для хакерских атак, даже с учетом соления – добавления случайных данных в конец строки исходного пароля в качестве дополнительного способа увеличения безопасности.
Специалисты объясняют, что в момент загрузки зашифрованных пользователем данных в облако Telegram, существует необходимость подтверждения подлинности сторонними службам, которые расшифровывают информацию с целью учета, в последствии зашифровывая ее повторно. Такое положение вещей потенциально снижает безопасность пользовательских данных.
В компании считают, что уровень защиты сведений, загружаемых в облако Telegram, сильно зависит от сложности выбранного пароля, учитывая достаточную легкость взлома посредством банального перебора, характерную для указанного алгоритма хэширования, а также отсутствие цифровой подписи.
Ратнер Елена специально для Майнингофф, по материалам: cointelegraph.com