Partager cet article

La tecnología de Telegram prometida en la ICO es vulnerable a ataques, según investigadores

Telegram ha lanzado su primera aplicación desde su ICO, pero ese juego de identidad tiene a los investigadores de seguridad tambaleándose.

Mise à jour 13 sept. 2021, 8:14 a.m. Publié 1 août 2018, 6:25 p.m. Traduit par IA

Con $1.7 mil millones en el banco luego de su oferta inicial de monedas (ICO), Telegram lanzó su primera función compatible con criptomonedas, pero los investigadores de seguridad son escépticos.

Como se detalla en una entrada de blog publicada hoy, Virgil Security, una startup estadounidense, ha identificado varias debilidades en la nueva aplicación de verificación de identidad, llamada Passport. Si bien la compañía elogió a Telegram por publicar la API de la aplicación como código abierto, lo que permite que otros expertos revisen el código, Virgil Security detalló dos problemas con la aplicación: cómo cifra los datos y cómo protege los datos almacenados.

La Suite Ci-Dessous

Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Long & Short aujourd. Voir Toutes les Newsletters

En vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.

"Su compromiso con la apertura brinda a los profesionales de seguridad la oportunidad de revisar su implementación e idealmente, ayudar a mejorarla", escribió Alexey Ermishkin de Virgil Security enel blog de la empresa, añadiendo:

"Desafortunadamente, la seguridad de Passport decepciona en varios aspectos clave".

Telegram nunca ha anunciado ni verificado públicamente la existencia de su ICO de mil millones de dólares. Pero a medida que comenzaron a filtrarse documentos a principios de este año, se hizo evidente que la compañía, más conocida por su aplicación de chat, pretendía competir con muchos de los servicios —desde el intercambio de archivos hasta la navegación cifrada— que las startups de Cripto ya habían propuesto.

Además, quería llevar los pagos basados en blockchain a la aplicación de chat Telegram, que en los últimos años se ha vuelto popular entre la comunidad Cripto .

Los pagos y la verificación de identidad van de la mano, lo que convierte a Passport en una de las primeras opciones de la compañía. Además, romper con las normas de ID digital de empresas como Equifax, que KEEP datos en bases de datos centralizadas vulnerables a filtraciones y abusos, ha sido desde hace tiempo un objetivo compartido por la comunidad de Criptomonedas , por lo que es un punto de partida ideal para Telegram.

En su publicación de blogSobre el nuevo producto, Telegram promete que "tus documentos de identidad y datos personales se almacenarán en la nube de Telegram mediante cifrado de extremo a extremo. Está cifrado con una contraseña que solo tú conoces, por lo que Telegram no tiene acceso a los datos que almacenas en tu pasaporte de Telegram".

Continúa prometiendo que, eventualmente, estos datos se almacenarán de manera descentralizada. La identidad fue ONE de los componentes del ambicioso sistema basado en blockchain que prometió Telegram. en su informe técnico de la ICO.

Pero a LOOKS por los hallazgos de Virgil Security, Telegram necesita volver a la mesa de dibujo.

Fuerza bruta

La principal crítica de Virgil Security a la seguridad de Passport es la forma en que encripta sus contraseñas.

Al anunciar Passport,Telegram lanzadoUna cantidad considerable de información sobre el funcionamiento del sistema. En particular, Virgil Security se centra en el hecho de que Telegram utiliza SHA-512 para el hash de las contraseñas.

"Estamos en 2018 y una GPU de alto nivel puede realizar una verificación por fuerza bruta... 1.500 millones de hashes SHA-512por segundo", escriben.

Se estima que con suficientes computadoras, estas contraseñas podrían descifrarse por entre 135 y 5 dólares cada una, dependiendo de la fortaleza de las contraseñas que elijan los usuarios.

Sin embargo, antes de que un atacante pudiera comenzar su ataque, primero necesitaría violar el propio Telegram, como reconoce Virgil.

"Para acceder a los hashes de contraseñas, el ataque tendría que ser interno a Telegram. Las formas en que esto podría ocurrir son numerosas: amenazas internas, phishing selectivo, una memoria USB maliciosa, ETC", declaró a CoinDesk Dmitry Dain, cofundador de Virgil Security.

Y si muchos usuarios comienzan a utilizar y a su vez cargar estos datos en Passport de Telegram, la empresa se convertirá en un objetivo muy atractivo.

Telegram ha sido criticado durante mucho tiempo por tomarSu propio enfoque de la criptografíaEn lugar de depender de estándares establecidos, no se ha detectado ninguna falla en el modelo de Telegram hasta el momento.

Datos sin firmar

El otro peligro para los usuarios que Virgil Security critica es un BIT más matizado: el hecho de que los datos cargados en Passport no están firmados.

Al firmar criptográficamente los datos (una parte integral de la arquitectura de blockchain en general), los usuarios pueden verificar rápidamente que los datos fueron cargados allí por la persona que afirmó haberlos cargado y que no han sido modificados.

Sin una firma criptográfica, un atacante podría cambiar alguna parte de los datos y ONE lo sabría.

El artículo de Virgil Security sostiene:

Ahora, cuando la gente ve "cifrado de extremo a extremo", cree que sus datos se enviarán de forma segura a un tercero sin temor a que sean descifrados o manipulados. Desafortunadamente, los usuarios de Passport tendrán una falsa sensación de confianza.

Sin embargo, con las críticas de Virgil Security y la novedad del producto, debería ser relativamente sencillo para Telegram reforzar su seguridad (Virgil Security es un proveedor de cifrado de extremo a extremo).

Telegram no respondió de inmediato a una Request de comentarios.

Cerradura rotaimagen vía ShutterStock

Security Telegram News Distributed Ledger Technology ICO Passport Technology News

Brady Dale

Brady Dale tiene pequeñas posiciones en BTC, WBTC, POOL y ETH.