به گزارش کارگروه tفناوری اطلاعات سایبربان؛ یک تیم بینالمللی از دانشمندان رایانهای بهتازگی گزارش دادند که چهار آسیبپذیری رمزنگاری را در پیامرسان رمزگذاری شده تلگرام پیدا کردند.
کنی پترسون Kenny Paterson استاد دانشگاه ETH سوئیس که یکی از اعضای تیم کشف کننده آسیبپذیریها بود گفت، طبق تجزیهوتحلیلهای امنیتی این آسیبپذیریها از سطح پیشپاافتاده تا سطح پیشرفته هستند.
این دانشمندان درنهایت ثابت کردند که این چهار آسیبپذیری قابلحل بود و میشد با یک رویکرد رمزگذاری استاندارد امنیت و اعتماد بیشتری ایجاد کرد.
مهمترین آسیبپذیری کشفشده توسط محققان چیزی است که آنها از آن بهعنوان جرم - پیتزا crime-pizza یاد میکنند. از طریق این آسیبپذیری، یک هکر میتواند ترتیب پیامهای ارسالی از یک مشتری به یک سرور ابری که برای تلگرام کار میکند را تغییر دهد.
به گفته محققان برای مثال اگر ترتیب جملات "من به آن بله میگویم" و "من به آن نه میگویم" در مواجه با کلمات پیتزا و جرم، جابجا شود، آنگاه ممکن است تصور شود مشتری برای ارتکاب جرم تمایل دارد.
دریکی دیگر از این آسیبپذیریهای کشفشده مهاجم میتواند تشخیص دهد از دو پیام کدامیک توسط مشتری رمزگذاری شده و کدام توسط سرور، گرچه برای انجام این کار نیاز به شرایط خاصی است.
تلگرام بهجای استفاده از ساختار رمزگذاری پرکاربرد Transport Layer Security از ساختار رمزگذاری خود، موسوم به MTProto استفاده میکند. رمزنگاران درگذشته نیز با شک به ساختار رمزنگاری تلگرام نگاه میکردند. این تحقیق نشان میدهد اگرچه برنامههای رمزگذاری شده از امنیت قابلتوجهی برخوردارند؛ اما نمیتوان گفت 100% غیرقابل نفوذ هستند.
رمزنگاران دانشگاه ETH سوئیس و دانشکده Royal Holloway دانشگاه لندن، در ماه آوریل این آسیبپذیریها را به تلگرام اعلام کردند.
محققان در اطلاعیهای گفتند، احتمال خطر فوری برای اکثر کاربران کم است؛ اما این آسیبپذیریها نشان داد ساختار رمزنگاری تلگرام در مقایسه با برخی ساختارهای رمزنگاری که بسیار پرکاربرد هستند، از ضمانت کمتری برخوردار است.
تلگرام هم در واکنش به این افشاگریها نوشت، تغییرات لازم را اعمال کرده است. این شرکت همچنین مدعی شد آسیبپذیریهای کشفشده خیلی جدی نبودند بااینحال ما از هر تحقیقی که منجر به افزایش امنیت رمزنگاریمان شود استقبال میکنیم. این یافتههای خاص به بهبود امنیت رمزنگاری ما کمک کرد.
