Μια μικρή διεθνής ερευνητική ομάδα ασφάλειας πληροφοριών διεξήγαγε μια εις βάθος ανάλυση ασφάλειας στον παγκοσμίως δημοφιλή αγγελιοφόρο Telegram. Οι κρυπτολόγοι από το ETH Zurich και το Royal Holloway College (Πανεπιστήμιο του Λονδίνου) κατάφεραν να εντοπίσουν αρκετά τρωτά σημεία. Ωστόσο, δεν υπάρχει άμεσος κίνδυνος για τους περισσότερους από τους περισσότερους από 570 εκατομμύρια χρήστες του Telegram.
Σε αυτή τη μελέτη των υπηρεσιών κρυπτογράφησης της Telegram συμμετείχαν ο καθηγητής Kenny Paterson και ο Dr. Ο Igors Stepanovs από το ETH της Ζυρίχης και ο καθηγητής Martin Albrecht και η διδακτορική φοιτήτρια Lenka Mareková από το Πανεπιστήμιο του Λονδίνου. Ένα πράγμα πρέπει να ειπωθεί αμέσως: Μια λεπτομερής ανάλυση κρυπτογραφικής ασφάλειας ενός messenger αυτού του μεγέθους ήταν κάτι παραπάνω από καθυστερημένη. Οι τέσσερις κρυπτογραφικές ευπάθειες που εντοπίστηκαν από τους κρυπτολόγους καθιστούν πολύ σαφές ότι το σύστημα της Telegram είναι σαφώς κατώτερο από τα πρότυπα ασφαλείας άλλων και συχνά χρησιμοποιούμενων πρωτοκόλλων κρυπτογράφησης, όπως το Transport Layer Security (TLS).
Η πρώτη ευπάθεια που περιγράφεται εδώ είναι ότι οι εισβολείς στο δίκτυο μπορούν να χειριστούν την ακολουθία μηνυμάτων που αποστέλλονται από τον πελάτη σε έναν από τους διακομιστές cloud που διαχειρίζεται η Telegram παγκοσμίως. Οι κρυπτολόγοι στο ETH Ζυρίχης δηλώνουν: «Λοιπόν, αν κάποιος μπορεί να αλλάξει τη σειρά των μηνυμάτων «Συμφωνώ «ναι»;, «Πίτσα!», «Συμφωνώ «όχι, συμφωνώ, έγκλημα», το «ναι» θα μπορούσε να πει « ναι, το να τρως πίτσα ξαφνικά έγινε έγκλημα». Η δεύτερη ευπάθεια που εντοπίστηκε κατά την ανάλυση ασφάλειας είναι μόνο θεωρητικής φύσης, αλλά πρέπει ακόμα να αναφερθεί. Ένας εισβολέας δικτύου θα μπορούσε θεωρητικά να ανακαλύψει ποιο από τα δύο μηνύματα από έναν πελάτη ή από έναν διακομιστή είναι κρυπτογραφημένο. Ομολογουμένως, αυτό ακούγεται αρκετά δραματικό στην αρχή. Ωστόσο, θα σήμαινε τεράστια προσπάθεια για τους εισβολείς να εκμεταλλευτούν αυτήν την ευπάθεια που βρέθηκε στην ανάλυση ασφαλείας. Σύμφωνα με τους ειδικούς ασφαλείας, ένας εισβολέας θα έπρεπε πρώτα να στείλει εκατομμύρια προσεκτικά δημιουργημένα μηνύματα στον στόχο του και να καθορίσει τις μικρότερες διαφορές στον χρόνο παράδοσης των αντίστοιχων απαντήσεων. Οι επιστήμονες είναι ωστόσο βέβαιοι ότι αυτή η κρυπτογραφική ευπάθεια πρέπει επίσης να ληφθεί σοβαρά υπόψη.
Ωστόσο, εάν μια τέτοια επίθεση ήταν επιτυχής, θα είχε καταστροφικές συνέπειες για την εμπιστευτικότητα των μηνυμάτων του Telegram και, φυσικά, για τους χρήστες τους.
Η τελευταία ευπάθεια που βρέθηκε αφορά την πολύ σημαντική ανταλλαγή κλειδιών μεταξύ του πελάτη χρήστη και του διακομιστή Telegram. Δεδομένου ότι το Telegram δεν παρέχει από προεπιλογή κρυπτογράφηση από άκρο σε άκρο, αυτή η σύνδεση είναι πολύ σημαντική για κάθε χρήστη της πλατφόρμας messenger. Επειδή αν η επίθεση ήταν επιτυχής, ανακάλυψαν οι κρυπτογράφοι, τόσο το απόρρητο όσο και η ακεραιότητα της επικοινωνίας μας θα μπορούσαν να παραβιαστούν οριστικά. Ωστόσο, οι επιστήμονες λένε επίσης ότι η ενεργή εκμετάλλευση αυτής της ευπάθειας θα ήταν πολύ δύσκολη:
Ευτυχώς, αυτή η μέθοδος επίθεσης είναι επίσης σχετικά δύσκολο να πραγματοποιηθεί, καθώς ο εισβολέας θα έπρεπε να στείλει δισεκατομμύρια μηνύματα σε έναν διακομιστή Telegram μέσα σε λίγα λεπτά.
Ως συνήθως, η ερευνητική ομάδα ενημέρωσε τον messenger 90 ημέρες πριν από τη δημοσίευση για τα κενά ασφαλείας που είχαν βρει. Το Telegram έχει πλέον αντιδράσει στα αναφερόμενα προβλήματα ασφαλείας και τα έχει επιδιορθώσει με τακτικές ενημερώσεις λογισμικού. Όπως αναφέρθηκε στην αρχή, σύμφωνα με τους ειδικούς, δεν υπάρχει άμεσος κίνδυνος για τους περισσότερους από τους περισσότερους από 570 εκατομμύρια χρήστες του Telegram παγκοσμίως. Σύμφωνα με τους ερευνητές, το περιστατικό αποκαλύπτει επίσης μια αμφίβολη προσέγγιση από τους προγραμματιστές του Telegram για την επιδιόρθωση τέτοιων ζητημάτων. Απόσπασμα (μεταφρασμένο) από την ανάρτηση του ιστολογίου:
Ενημερωθήκαμε από τους προγραμματιστές του Telegram ότι δεν κάνουν καμία ειδική έκδοση ασφαλείας ή διόρθωση σφαλμάτων. Η μόνη εξαίρεση είναι οι επείγουσες επιδιορθώσεις για μια προηγούμενη ελαττωματική ενημέρωση. Η ομάδα ανάπτυξης μάς ενημέρωσε επίσης ότι δεν ήθελε να εκδώσει συμβουλές ασφαλείας κατά τη στιγμή της ενημέρωσης κώδικα, ούτε να δεσμευτεί για μια ημερομηνία κυκλοφορίας για συγκεκριμένες επιδιορθώσεις. Ως αποτέλεσμα, οι διορθώσεις κυκλοφόρησαν ως μέρος των τακτικών ενημερώσεων του Telegram.
«Ενημερωθήκαμε από τους προγραμματιστές του Telegram ότι δεν κάνουν εκδόσεις ασφαλείας ή επιδιορθώσεις σφαλμάτων εκτός από άμεσες επιδιορθώσεις σφαλμάτων μετά την κυκλοφορία. Η ομάδα ανάπτυξης μας ενημέρωσε επίσης ότι δεν επιθυμούσε να εκδώσει συμβουλές ασφαλείας κατά τη στιγμή της ενημέρωσης κώδικα…” https://t.co/2eETQyOwBg
— Nicholas J Percoco (@c7five) Ιούλιος 16, 2021
Σύμφωνα με την ίδια την Telegram, τα τρωτά σημεία δεν ήταν κρίσιμα. Ίσως εξηγεί και τη διαδικασία για τα κενά που αναφέρθηκαν. Το Telegram έχει ακόμα ένα δημοσιευμένη ανάρτηση ιστολογίου, το οποίο περιγράφει λεπτομερώς τα προβλήματα που αποκαλύφθηκαν.
Μπορείτε να βρείτε το κανάλι μας στο Telegram στη διεύθυνση: https://t.me/dravenstales