Логин: * Пароль: * Регистрация Забыли пароль?
Нет ответов

Habr способ взлома Telegram Passport

Пользователь Habr обнаружил способ взлома Telegram Passport

Пользователь Habr под ником Scratch опубликовал на сайте запись о том, что в сервисе для безопасной авторизации Passport от Telegram существуют лазейки для кражи личных данных пользователя. Всему виной алгоритмы шифрования, которые применяются в механизме инструмента.

Подробнее о находке:

Как сообщает автор заметки, на самом деле шифрование в Telegram Passport является не end-to-end в привычном понимании, а специально разработанным компанией алгоритмом. В облачное хранилище передаются зашифрованные персональные данные и почти случайный криптографический ключ, а также хеш от персональных данных, смешанный со случайными байтами. Scratch говорит, что этой информации достаточно, чтобы провести успешную брутфорс-атаку и похитить личные данные пользователей сервиса.

  • Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC. Scratch, пользователь Habr

Разработчик подробно описал все алгоритмы, которые использует сервис для обеспечения шифрования, а также описал приблизительный план по применению брутфорс-атаки для взлома инструмента. Кроме того, он привел в пример несколько сервисов, которые используют «настоящее» end-to-end шифрование. Среди них — мессенджеры Signal и Whatsapp.

Habr способ взлома Telegram Passport

Метод защиты данных в Telegram Passport:

В дополнение специалист по безопасности отметил, что скорость взлома зависит от длины пароля пользователя. Для защиты он предложил придумать сложный пароль длиннее 8 символов, который, по его мнению, использует очень малое количество пользователей.

Напомним, что инструмент для быстрой аутентификации и хранения пользовательских данных Telegram Passport официально вышел 26 июля 2018 года. Он уже подвергся критике по поводу политики безопасности со стороны Антона Розенберга — бывшего коллеги создателя Telegram Павла Дурова.

Источник: Tproger

⇓⇓ Поделитесь событием с друзьями! ⇓⇓

Спасибо сказали: Страж, Энакин Скайуокер,
Stalker.Uz
Зарегин: 06/03/2009
На сайте


!!!Внимание!!!
Сайт СталкерУз не содержит рекламы и поэтому для поддержания проекта нужна Ваша помощь!
Подкинуть копейку можно по этой ссылке - funding.webmoney.ru/stalkeruz-territoriya-stalkera
Актуальные темы на сегодня
Прежде чем обживать Зону, нужно самому стать ее частью. Только тогда у тебя будет шанс остаться в живых.
Наверх Вниз