Beveiligingsonderzoekers ontdekken versleutelingsfouten in Telegram

2 reacties

De beveiligingsonderzoekers van de Royal Holloway University of London en ETH in Zürich hebben Telegram flink aan de tand gevoeld en ontdekten dat er het een en ander mankeerde aan de end-to-end-versleuteling van de instant messaging software.

Telegram gebruikt zijn eigen versleutelingsprotocol MTProto. De onderzoekers richtten zich vooral op de encryptie tussen de client en de server en vonden vier fouten waarvan eentje makkelijk te misbruiken was. De makkelijkst te misbruiken bug was er eentje waarmee aanvallers de zinsvolgorde kunnen wijzigen. De onderzoekers halen als voorbeel de zin “I say yes to”, “all the pizzas”, “I say no to”, “all the crimes" aan. Deze zou door aanvallers kunnen worden verbouwd tot “I say yes to”, “all the crimes”, “I say no to”, “all the pizzas”. 

De kwetsbaarheden worden door de onderzoekers als vrij laag ingeschat, maar in het document halen zij wel aan dat de versleutelingsfuncties van de dienst achterblijven bij het beveiligingsniveau van tls, het protocol waar MTProto erg op lijkt. De onderzoekers pleiten al langer voor het gebruik van bekende en uitgebreid geteste versleutelingscomponenten en geen zelfgemaakte componenten te gebruiken.

Telegram is inmiddels op de hoogte en heeft de clients gepatcht. Gebruikers die versie 7.8.1 voor Android, 7.8.3 voor iOS en 2.8.8 voor de desktop hebben, hoeven zich over deze kwetsbaarheden geen zorgen meer te maken.

Bron: MPTSYM

« Vorig bericht Volgend bericht »
0
*