De versleutelde chat-applicatie Telegram lanceerde vorige week een nieuwe dienst voor het versleuteld opslaan van identiteitsbewijzen, maar die is kwetsbaar voor bruteforce-aanvallen, zo claimt securitybedrijf Virgil Security. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen.
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden. Telegram stelt dat gegevens "end-to-end versleuteld" worden opgeslagen. Voor de versleuteling wordt gebruik gemaakt van een wachtwoord dat alleen de gebruiker weet. Volgens Virgil Security maakt Telegram gebruik van het SHA-512-algoritme voor het hashen van het wachtwoord. Dit algoritme zou echter nooit voor het hashen van wachtwoorden bedoeld zijn, aldus het securitybedrijf.
"Het beschermen van wachtwoorden met SHA-512, zelfs wanneer er van een salt gebruik gemaakt wordt, stelt wachtwoorden en hun gebruikers bloot aan bruteforce-aanvallen", aldus Alexey Ermishkin van het securitybedrijf. Een snelle videokaart kan 1,5 miljard SHA-512-hashes per seconde controleren. Wanneer er met tien videokaarten wordt gewerkt zijn alle hashes van wachtwoorden die uit 8 karakters bestaan binnen 5 dagen te achterhalen, stelt Ermishkin.
Verder blijkt dat Telegram geen volledig willekeurige sleutel voor het versleutelen van de data genereert. "De veiligheid van de data die je naar Telegrams cloud uploadt is grotendeels afhankelijk van de sterke van je wachtwoord, aangezien bruteforce-aanvallen door het gekozen algoritme eenvoudig zijn. En de afwezigheid van een digitale handtekening maakt het mogelijk om je data aan te passen zonder dat jij of de ontvanger dit kunnen vertellen", zegt Ermishkin. Een interne of externe aanvaller die toegang tot de wachtwoordhashes heeft kan vervolgens een bruteforce-aanval uitvoeren.
Hij merkt op dat end-to-end-encryptie een marketingfeature is geworden die aan twee kanten snijdt. "Wanneer mensen 'end-to-end versleuteld' zien, denken ze dat hun gegevens veilig naar een derde partij worden gestuurd, zonder dat het is te ontsleutelen of aan te passen. Helaas hebben Telegram Passport-gebruikers een vals gevoel van vertrouwen over de veiligheid en privacy van hun data, aangezien het geschonden kan worden door de zwakte van Telegrams wachtwoordveiligheid", besluit Ermishkin.
Deze posting is gelocked. Reageren is niet meer mogelijk.