Cuatro debilidades criptográficas solucionadas en Telegram
Un equipo internacional de investigadores informó el viernes que encontraron cuatro vulnerabilidades criptográficas en la popular aplicación de mensajes Telegram:
- Crime-pizza
- Every bit of information is too much
- Adjust your clocks
- Piggy in the middle
Las debilidades van desde "técnicamente triviales y fáciles de explotar hasta más avanzadas y de interés teórico", según el análisis de seguridad. Pero, en última instancia, demuestran que los cuatro problemas "se podrían hacer mejor, de manera más segura y confiable con un enfoque estándar de la criptografía", dijo el profesor Kenny Paterson de ETH Zurich, quien formó parte del equipo que descubrió la falla.
Los criptógrafos de ETH Zurich, una universidad pública de investigación en Suiza, y el colegio constituyente Royal Holloway de la Universidad de Londres revelaron las vulnerabilidades a Telegram en abril.
La vulnerabilidad más significativa que descubrieron los investigadores es lo que llamaron la vulnerabilidad de la "crime-pizza". En él, un atacante podría alterar el orden de los mensajes provenientes de un cliente a un servidor en la nube que opera Telegram.
"Por ejemplo, si el orden de los mensajes en la secuencia es: <I say "yes" to>, <pizza>, <I say "no" to>, <crime>, si el mismo se modifica parecería que el cliente está declarando su disposición a cometer un delito. Las últimas versiones de las aplicaciones de Telegram no permiten reordenar los mensajes enviados en un chat.
En una de las vulnerabilidades más teóricas, un atacante podría discernir cuál de los dos mensajes fue cifrado por un cliente o un servidor, aunque requeriría circunstancias especiales para poder hacerlo.
Telegram se basa en su propio protocolo de cifrado MTProto, en lugar de un protocolo más utilizado como Transport Layer Security (TLS). Los criptógrafos también han mirado a MTProto con escepticismo en el pasado. Las últimas investigaciones sirven como recordatorio de que, si bien las aplicaciones cifradas ofrecen un grado significativo de seguridad, no son 100% inmunes a la explotación.
"Para la mayoría de los usuarios, el riesgo inmediato es bajo, pero estas vulnerabilidades destacan que Telegram no cumplió con las garantías criptográficas de las que gozan otros protocolos criptográficos ampliamente implementado", afirma un resumen de la universidad.
Telegram escribió que hizo cambios en respuesta a la divulgación "que hacen que las cuatro observaciones hechas por los investigadores ya no sean relevantes".
También destacó que las vulnerabilidades no eran críticas. "Damos la bienvenida a cualquier investigación que ayude a que nuestro protocolo sea aún más seguro. Estos hallazgos particulares ayudaron a mejorar aún más la seguridad teórica del protocolo".
Fuente: CyberScoop | Telegram
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!