Virgil Security, Inc., một nhà cung cấp dịch vụ tiền điện tử, đã xuất bản một báo cáo nêu lên những lo ngại về an ninh của Hộ chiếu Telegram.
- UBS: Bitcoin phải đạt $ 213,000 để thay thế nguồn cung tiền của Mỹ
- Brian Kelly: Giá Bitcoin hiện tại là sự điều chỉnh bình thường
- Ví điện tử ‘không thể hack’ của McAfee đã bị hack?
Telegram Passport là tính năng mới nhất được giới thiệu bởi ứng dụng nhắn tin vào tháng trước. Nó cho phép người dùng tải lên các tài liệu nhận dạng cá nhân như hộ chiếu, chứng minh nhân dân và giấy phép lái xe được lưu trữ trong đám mây Telegram. Các tài liệu này được mã hóa để người dùng có thể xác minh danh tính của họ trên các dịch vụ của bên thứ ba mà không hiển thị dữ liệu cá nhân của họ.
Tuy nhiên, Virgil nghĩ rằng tính năng này không an toàn.
Thứ nhất, Telegram sử dụng Secure Hashing Algorithm 2 (SHA-512), vốn yếu về mặt mã hóa. Virgil giải thích rằng để bảo mật mật khẩu, sẽ mất thêm một hacker để đoán từng mật khẩu.
Bây giờ là năm 2018 và một GPU cấp cao nhất có thể kiểm tra khoảng 1,5 tỷ băm SHA-512 mỗi giây.
Salting là một cách để bao gồm dữ liệu ngẫu nhiên trong một mật khẩu; tuy nhiên, điều đó sẽ không giúp ích gì cho trường hợp của SHA-512. Chỉ một mật khẩu mạnh sẽ giữ tài khoản của người dùng an toàn khỏi các cuộc tấn công bạo lực.
Virgil nói thêm rằng trang web dịch vụ việc làm LinkedIn đã bị hack vào năm 2012 vì nó đã sử dụng phiên bản SHA-1 của SHA-2. Cuộc tấn công tiếp xúc với mật khẩu của 8 triệu người dùng LinkedIn. Năm sau, thị trường trực tuyến LivingSocial, cũng sử dụng SHA-1, mất 50 triệu mật khẩu trong một cuộc tấn công tương tự. Do đó, thật ngạc nhiên khi Telegram quyết định sử dụng một hệ thống bảo vệ mật khẩu yếu như vậy.
Thứ hai, Telegram tuyên bố rằng nó mã hóa dữ liệu người dùng và sau đó gửi nó đến đám mây. Dữ liệu sau đó được giải mã và mã hóa lại để xác nhận danh tính của người dùng trên dịch vụ của bên thứ ba. Dữ liệu thu được không hoàn toàn ngẫu nhiên và sử dụng SHA-2 một lần nữa. Ngoài ra, ứng dụng không bao gồm tùy chọn chữ ký kỹ thuật số và “sự vắng mặt của chữ ký kỹ thuật số cho phép dữ liệu của bạn được sửa đổi mà không cần bạn hoặc người nhận có thể nói“.
Trên bài đăng blog chính thức của mình, Telegram đã viết rằng dịch vụ được mã hóa đầu cuối và chỉ sử dụng mật khẩu mà người dùng đã biết. Tuy nhiên, nghiên cứu này cho thấy các sơ hở có trong các mã khiến người dùng dễ bị tấn công bởi tin tặc. Một số lựa chọn thay thế được cung cấp bởi Virgil bao gồm SCrypt, BCrypt, Argon2, BrainKey và Pythia.
Vào tháng 8 năm 2016, tin tặc đã phơi bày số điện thoại của 15 triệu người dùng Telegram Iran. Quay lại sau đó, một hệ thống xác thực người dùng sử dụng SMS để hoàn tất quá trình dẫn đến cuộc tấn công. Vì Hộ chiếu giữ thông tin nhạy cảm, nó có thể đã được nhắm mục tiêu bởi tin tặc. Hiện tại, Telegram đang xử lý tình hình và cải thiện tính bảo mật của “sản phẩm cao cấp” này.
Nguồn CCN
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.