"Telegram Passport kwetsbaar voor bruteforce-aanvallen"
De versleutelde chat-applicatie Telegram lanceerde vorige week een nieuwe dienst voor het versleuteld opslaan van identiteitsbewijzen, maar die is kwetsbaar voor bruteforce-aanvallen, zo claimt securitybedrijf Virgil Security. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen.
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden. Telegram stelt dat gegevens "end-to-end versleuteld" worden opgeslagen. Voor de versleuteling wordt gebruik gemaakt van een wachtwoord dat alleen de gebruiker weet. Volgens Virgil Security maakt Telegram gebruik van het SHA-512-algoritme voor het hashen van het wachtwoord. Dit algoritme zou echter nooit voor het hashen van wachtwoorden bedoeld zijn, aldus het securitybedrijf.
"Het beschermen van wachtwoorden met SHA-512, zelfs wanneer er van een salt gebruik gemaakt wordt, stelt wachtwoorden en hun gebruikers bloot aan bruteforce-aanvallen", aldus Alexey Ermishkin van het securitybedrijf. Een snelle videokaart kan 1,5 miljard SHA-512-hashes per seconde controleren. Wanneer er met tien videokaarten wordt gewerkt zijn alle hashes van wachtwoorden die uit 8 karakters bestaan binnen 5 dagen te achterhalen, stelt Ermishkin.
Verder blijkt dat Telegram geen volledig willekeurige sleutel voor het versleutelen van de data genereert. "De veiligheid van de data die je naar Telegrams cloud uploadt is grotendeels afhankelijk van de sterke van je wachtwoord, aangezien bruteforce-aanvallen door het gekozen algoritme eenvoudig zijn. En de afwezigheid van een digitale handtekening maakt het mogelijk om je data aan te passen zonder dat jij of de ontvanger dit kunnen vertellen", zegt Ermishkin. Een interne of externe aanvaller die toegang tot de wachtwoordhashes heeft kan vervolgens een bruteforce-aanval uitvoeren.
Hij merkt op dat end-to-end-encryptie een marketingfeature is geworden die aan twee kanten snijdt. "Wanneer mensen 'end-to-end versleuteld' zien, denken ze dat hun gegevens veilig naar een derde partij worden gestuurd, zonder dat het is te ontsleutelen of aan te passen. Helaas hebben Telegram Passport-gebruikers een vals gevoel van vertrouwen over de veiligheid en privacy van hun data, aangezien het geschonden kan worden door de zwakte van Telegrams wachtwoordveiligheid", besluit Ermishkin.
Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....
Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!
TheYOSH
Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....
Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!
TheYOSH
Je hebt groot gelijk, maar ze willen het hun gebruikers ook zo gemakkelijk mogelijk maken... De gulden middenweg tussen veiligheid en gebruiksgemak zoeken is zeer moeilijk als het op iets zoals dit aankomt.
TheYOSH
Is je paspoort een boek dan dat het een ISBN nummer heeft? :)
Ik zie alleen niet zo snel hoe hier wachtwoorden ontstaan uit 8 of minder karakter. Jij?
Zie: https://core.telegram.org/passport, en vertel maar eens met zekerheid waar een sha512 hash wordt gedaan van
8 karakters of minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.