Логин: * Пароль: * Регистрация Забыли пароль?
Нет ответов
+83 
 -148
Группировка: Военные
Ранг: Мастер
Должность: В запасе
Зарегистрирован: 02/28/2016
Оффлайн

Habr способ взлома Telegram Passport

Пользователь Habr обнаружил способ взлома Telegram Passport

Пользователь Habr под ником Scratch опубликовал на сайте запись о том, что в сервисе для безопасной авторизации Passport от Telegram существуют лазейки для кражи личных данных пользователя. Всему виной алгоритмы шифрования, которые применяются в механизме инструмента.

Подробнее о находке:

Как сообщает автор заметки, на самом деле шифрование в Telegram Passport является не end-to-end в привычном понимании, а специально разработанным компанией алгоритмом. В облачное хранилище передаются зашифрованные персональные данные и почти случайный криптографический ключ, а также хеш от персональных данных, смешанный со случайными байтами. Scratch говорит, что этой информации достаточно, чтобы провести успешную брутфорс-атаку и похитить личные данные пользователей сервиса.

  • Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC. Scratch, пользователь Habr

Разработчик подробно описал все алгоритмы, которые использует сервис для обеспечения шифрования, а также описал приблизительный план по применению брутфорс-атаки для взлома инструмента. Кроме того, он привел в пример несколько сервисов, которые используют «настоящее» end-to-end шифрование. Среди них — мессенджеры Signal и Whatsapp.

Habr способ взлома Telegram Passport

Метод защиты данных в Telegram Passport:

В дополнение специалист по безопасности отметил, что скорость взлома зависит от длины пароля пользователя. Для защиты он предложил придумать сложный пароль длиннее 8 символов, который, по его мнению, использует очень малое количество пользователей.

Напомним, что инструмент для быстрой аутентификации и хранения пользовательских данных Telegram Passport официально вышел 26 июля 2018 года. Он уже подвергся критике по поводу политики безопасности со стороны Антона Розенберга — бывшего коллеги создателя Telegram Павла Дурова.

Источник: Tproger

⇓⇓ Поделитесь событием с друзьями! ⇓⇓

Спасибо сказали: Страж, Дигерок,
banner_donat.png
Stalker.Uz
Зарегин: 06/03/2009
На сайте


Наш канал в телеграмме - Подписывайся!!! - t.me/stalkeruz_com

Наш чат в телеграмме - Велкам!!! - t.me/joinchat/AhAXYUa0wa1dXbp760kauA
EXMO affiliate program
Актуальные темы на сегодня
Человечество в целом - слишком стационарная система, ее ничем не проймешь. © "Пикник на обочине"
Наверх Вниз