"Telegram Passport kwetsbaar voor bruteforce-aanvallen"
De versleutelde chat-applicatie Telegram lanceerde vorige week een nieuwe dienst voor het versleuteld opslaan van identiteitsbewijzen, maar die is kwetsbaar voor bruteforce-aanvallen, zo claimt securitybedrijf Virgil Security. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen.
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden. Telegram stelt dat gegevens "end-to-end versleuteld" worden opgeslagen. Voor de versleuteling wordt gebruik gemaakt van een wachtwoord dat alleen de gebruiker weet. Volgens Virgil Security maakt Telegram gebruik van het SHA-512-algoritme voor het hashen van het wachtwoord. Dit algoritme zou echter nooit voor het hashen van wachtwoorden bedoeld zijn, aldus het securitybedrijf.
"Het beschermen van wachtwoorden met SHA-512, zelfs wanneer er van een salt gebruik gemaakt wordt, stelt wachtwoorden en hun gebruikers bloot aan bruteforce-aanvallen", aldus Alexey Ermishkin van het securitybedrijf. Een snelle videokaart kan 1,5 miljard SHA-512-hashes per seconde controleren. Wanneer er met tien videokaarten wordt gewerkt zijn alle hashes van wachtwoorden die uit 8 karakters bestaan binnen 5 dagen te achterhalen, stelt Ermishkin.
Verder blijkt dat Telegram geen volledig willekeurige sleutel voor het versleutelen van de data genereert. "De veiligheid van de data die je naar Telegrams cloud uploadt is grotendeels afhankelijk van de sterke van je wachtwoord, aangezien bruteforce-aanvallen door het gekozen algoritme eenvoudig zijn. En de afwezigheid van een digitale handtekening maakt het mogelijk om je data aan te passen zonder dat jij of de ontvanger dit kunnen vertellen", zegt Ermishkin. Een interne of externe aanvaller die toegang tot de wachtwoordhashes heeft kan vervolgens een bruteforce-aanval uitvoeren.
Hij merkt op dat end-to-end-encryptie een marketingfeature is geworden die aan twee kanten snijdt. "Wanneer mensen 'end-to-end versleuteld' zien, denken ze dat hun gegevens veilig naar een derde partij worden gestuurd, zonder dat het is te ontsleutelen of aan te passen. Helaas hebben Telegram Passport-gebruikers een vals gevoel van vertrouwen over de veiligheid en privacy van hun data, aangezien het geschonden kan worden door de zwakte van Telegrams wachtwoordveiligheid", besluit Ermishkin.
Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....
Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!
TheYOSH
Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....
Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!
TheYOSH
Je hebt groot gelijk, maar ze willen het hun gebruikers ook zo gemakkelijk mogelijk maken... De gulden middenweg tussen veiligheid en gebruiksgemak zoeken is zeer moeilijk als het op iets zoals dit aankomt.
TheYOSH
Is je paspoort een boek dan dat het een ISBN nummer heeft? :)
Ik zie alleen niet zo snel hoe hier wachtwoorden ontstaan uit 8 of minder karakter. Jij?
Zie: https://core.telegram.org/passport, en vertel maar eens met zekerheid waar een sha512 hash wordt gedaan van
8 karakters of minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
