Virgil Security, Inc. Là một nhà cung cấp dịch vụ tiền số, đã xuất bản một báo cáo nêu lên những lo ngại về an ninh của Telegram Passport.
- Ví tiền số “không thể bị hack”, Bitfi của McAfee bị phát hiện nhiều nghi vấn
- Tin tặc giờ đã “cả gan” hack luôn cả SIM điện thoại, cuỗm đi mất 5 triệu đô tiền điện tử
- Hack 1 triệu máy tính để đào 2 triệu đô tiền điện tử – Chuyện lạ chỉ có thể xảy ra tại Trung Quốc!
Telegram Passport là tính năng mới nhất được ra mắt vào tháng trước. Nó cho phép người dùng tải lên các tài liệu nhận dạng cá nhân như hộ chiếu, chứng minh nhân dân và giấy phép lái xe được lưu trữ trong đám mây Telegram. Các tài liệu này được mã hóa để người dùng có thể xác minh danh tính của họ trên các dịch vụ của bên thứ ba mà không hiển thị dữ liệu cá nhân của họ.
Tuy nhiên, Virgil nghĩ rằng tính năng này không ổn một chút nào.
Thứ nhất, Telegram sử dụng Secure Hashing Algorithm 2 (SHA-512), vốn yếu về mặt mã hóa. Virgil giải thích rằng để bảo mật mật khẩu một cách chuẩn sẽ phải khiến hacker mất rất nhiều thời gian để đoán từng mật khẩu.
Đây là năm 2018 và một GPU cấp cao nhất có thể kiểm tra khoảng 1,5 tỷ băm SHA-512 mỗi giây.
Salting là một cách để bao gồm dữ liệu ngẫu nhiên trong một mật khẩu. Tuy nhiên, điều đó sẽ không giúp ích gì cho trường hợp của SHA-512. Chỉ một mật khẩu đủ khó mới có thể giữ tài khoản của người dùng an toàn khỏi các cuộc tấn công “khủng khiếp” của hacker.
Virgil nói thêm rằng trang web dịch vụ việc làm LinkedIn đã bị hack vào năm 2012 vì nó đã sử dụng SHA-1 của SHA-2. Cuộc tấn công nhắm vào mật khẩu của 8 triệu người dùng LinkedIn. Năm sau, thị trường trực tuyến LivingSocial, cũng sử dụng SHA-1 và kết quả là bị mất 50 triệu mật khẩu trong một cuộc tấn công tương tự. Do đó, thật ngạc nhiên khi Telegram quyết định sử dụng một hệ thống bảo vệ mật khẩu yếu như vậy.
Thứ hai, Telegram tuyên bố rằng nó mã hóa dữ liệu người dùng và sau đó gửi nó đến đám mây. Dữ liệu sau đó được giải mã và mã hóa lại để xác nhận danh tính của người dùng trên dịch vụ của bên thứ ba. Dữ liệu thu được không hoàn toàn ngẫu nhiên và sử dụng SHA-2 một lần nữa. Ngoài ra, ứng dụng không bao gồm tùy chọn chữ ký kỹ thuật số và sự thiếu xót về mặt kỹ thuật số này sẽ khiến cho dữ liệu có thể bị sửa đổi mà không cần người dùng xác nhận.
Trong một blog chính thức, Telegram đã nói rằng dịch vụ được mã hóa đầu cuối và chỉ sử dụng mật khẩu mà người dùng đã biết. Tuy nhiên, nghiên cứu này cho thấy các sơ hở có trong các mã có thể khiến người dùng dễ bị tấn công bởi hacker. Một số lựa chọn thay thế được khuyên dùng bởi Virgil bao gồm SCrypt, BCrypt, Argon2, BrainKey và Pythia.
Vào tháng 8 năm 2016, tin tặc đã “phơi” số điện thoại của 15 triệu người dùng Telegram Iran ra. Trước đó, một hệ thống xác thực người dùng sử dụng SMS để hoàn tất quá trình đã dẫn đến cuộc tấn công. Vì Passport giữ nhiều thông tin nhạy cảm và rất có thể nó đã được các hacker nhắm đến. Hiện tại, Telegram đang xử lý tình hình và cải thiện tính bảo mật của “sản phẩm” mới này.
Theo CryptoCoinsNews
