在初始代币发行(ICO)之后,该银行已经拥有17亿美元的资金,Telegram发布了它的第一个加密友好功能 – 但安全研究人员持怀疑态度。
正如今天发布的博客文章中详述的那样,总部位于美国的创业公司Virgil Security已经发现了一个名为Passport的新身份验证应用程序中的一些弱点。虽然公司称赞Telegram将应用程序的API作为开源发布,允许其他专家检查代码,但Virgil Security详细介绍了该应用程序的两个问题:如何加密数据以及如何保护存储的数据。
“他们对开放的承诺使安全从业者有机会审查他们的实施,并且理想情况下,有助于改善它,”Virgil Security的Alexey Ermishkin在该公司的博客上写道,并补充道:
“不幸的是,Passport在几个关键方面的安全性令人失望。”
Telegram从未公开宣布或证实其数十亿美元的ICO存在。但随着文档在今年早些时候开始泄露,很明显该公司以其聊天应用程序而广为人知,旨在与许多服务竞争 – 从文件共享到加密浏览 – 加密创业公司已经提出过。
此外,它还希望将基于区块链的支付方式引入Telegram聊天应用程序,近年来,该应用程序在加密社区中越来越受欢迎。
支付和身份验证齐头并进,使Passport成为公司的早期产品。此外,破坏像Equifax这样的数字身份用户,使得集中式数据库中的数据容易受到破坏和滥用,长期以来一直是加密货币社区的共同目标,因此它是Telegram开始的合适场所。
在其关于新产品的博客文章中,Telegram承诺“您的身份文件和个人数据将使用端到端加密存储在Telegram云中。它使用您只知道的密码加密,因此Telegram无法访问存储在电报护照中的数据。“
它继续承诺,最终,这些数据将以分散的方式存储,Identity是Telegram在其ICO技术白皮书中承诺的雄心勃勃的基于区块链的系统的组件之一。
但从Virgil Security的调查结果来看,Telegram需要回到绘图板上。
蛮力
Virgil Security对Passport安全性的主要批评是加密密码的方式。
在宣布Passport时,Telegram发布了大量关于系统如何工作的信息。特别是,Virgil Security专注于Telegram使用SHA-512来密码密码这一事实。
他们写道:“它是2018年,一个顶级GPU可以强制检查每秒大约15亿个SHA-512哈希值。”
它继续估计,如果有足够的计算机,这些密码可能会被破坏,每个密码从135美元到5美元不等,具体取决于用户选择的密码强度。
然而,在攻击者开始攻击之前,它需要首先违反Telegram本身,正如Virgil所承认的那样。
“要访问密码哈希,攻击必须是Telegram的内部。可能发生的方式很多 – 内部威胁,矛头,一个流氓USB等,”Virgil Security联合创始人Dmitry Dain告诉CoinDesk。
如果很多用户开始使用并将这些数据加载到Telegram的Passport中,它将使该公司成为一个非常有吸引力的目标。
长期以来,电报一直受到批评采用自己的密码学方法,而不是依赖既定标准。也就是说,到目前为止,Telegram的模型还没有被打破。
无符号数据
对用户的另一个危险Virgil Security批评更加微妙:上传到Passport的数据没有签名。
通过加密地对数据进行签名(广泛地称为区块链架构的一个组成部分),用户可以快速验证声称已加载数据并且尚未更改的人在那里加载数据。
如果没有加密签名,攻击者可能会更改某些部分数据而无人知晓。
Virgil安全帖子认为:
“现在,当人们看到’端到端加密’时,他们相信他们的数据会被安全地发送给第三方而不用担心它被解密或篡改。不幸的是,Passport用户会有一种虚假的自信心。“
然而,随着Virgil Security的批评和产品的新颖性,Telegram加强其安全性应该变得相对简单(Virgil Security是一个端到端加密的提供商)。
电报没有立即回复评论请求。
图像来自ShutterStock
作者: Brady Dale
编译: Sabrina@比特财经
网址:https://www.coindesk.com/telegrams-post-ico-id-app-vulnerable-to-attack-researchers-say/
【声明:此文为本站原创翻译,如有不当之处请多指教!欢迎转载,转载请务必注明译者以及转自比特财经!】
(免责声明:本文仅代表作者本人观点,不代表比特财经立场)