Vulnerabilidad en Telegram: dos clientes por la clave de uno
INTECO ha llevado a cabo un análisis minucioso del diseño del protocolo que la plataforma de mensajería Telegram emplea para autenticar a los usuarios, es decir, el modo en el que éstos se identifican para acceder al servicio.
La conclusión es clara: se trata de un fallo de seguridad en el que un atacante podría ser capaz de interceptar la información enviada por los usuarios sin que éstos sean conscientes de que está ocurriendo.
El problema se debe a que Telegram posibilita que cualquier persona que emplee la plataforma de mensajería pueda crear versiones de su aplicación y utilizar los servicios que proporcionan a través de sus servidores. En Telegram se incluye una clave pública que permite a la aplicación del usuario asegurarse de que se está comunicando con la plataforma oficial. Pero como el programa lo puede desarrollar cualquier persona, un atacante malicioso podría modificar esa clave, y suplantar, por tanto, a los servidores de Telegram, interceptando las comunicaciones que el usuario envíe o reciba.
INTECO ha hecho público este análisis tras la investigación y correspondiente notificación oficial al servicio Telegram. La explicación detallada de todo el proceso está disponible en la Telegram: Dos clientes por la clave de uno [PDF].
Fuente: INTECO
La conclusión es clara: se trata de un fallo de seguridad en el que un atacante podría ser capaz de interceptar la información enviada por los usuarios sin que éstos sean conscientes de que está ocurriendo.
El problema se debe a que Telegram posibilita que cualquier persona que emplee la plataforma de mensajería pueda crear versiones de su aplicación y utilizar los servicios que proporcionan a través de sus servidores. En Telegram se incluye una clave pública que permite a la aplicación del usuario asegurarse de que se está comunicando con la plataforma oficial. Pero como el programa lo puede desarrollar cualquier persona, un atacante malicioso podría modificar esa clave, y suplantar, por tanto, a los servidores de Telegram, interceptando las comunicaciones que el usuario envíe o reciba.
INTECO ha hecho público este análisis tras la investigación y correspondiente notificación oficial al servicio Telegram. La explicación detallada de todo el proceso está disponible en la Telegram: Dos clientes por la clave de uno [PDF].
Fuente: INTECO
Seria interesante que leyerais la noticia antes de mantenerla publicada.
ResponderBorrarEse análisis "minucioso" no tiene ningún sentido y la verdad es que no tengo ni idea como lo han colado en el INTECO.
Si eres capaz de instalarle un programa custom a la víctima y además esta introduce todos lo datos que la app le pida, EVIDENTEMENTE tienes control TOTAL sobre ella, pero esto aplica prácticamente cualquier aplicación cliente servidor.
Saludos
Cualquier persona que se haya leido el "informe" se dará cuenta de que quien lo ha escrito nos está tomando a todos por tontos.
ResponderBorrarComo dice el comentario de arriba es DE VERGÜENZA que le hayan colado esto a un montón de webs de seguridad.
Coincido con el anterior comentario: si te instalas un cliente Telegram que no es el oficial, estás expuesto a que uses servidores fake de Telegram y que tus conversaciones, ficheros, etc. sean interceptados. Es como si tú mismo te instalas malware.
ResponderBorrar