La aplicación de
mensajería Telegram incluye una vulnerabilidad a través de su función Telegram
Passport, recientemente añadida, que emplea un protocolo para almacenar
contraseñas que las deja desprotegidas ante ciberataques de fuerza bruta, así
como los documentos oficiales almacenados.
Esta vulnerabilidad
reside en el sistema de protección de contraseñas SHA-512 que usa Telegram
Passport, que emplea un algortimo que no está destinado para el almacenamiento
de este tipo de claves y resulta vulnerable, como ha alertado la compañía de
ciberseguridad Virgil Security a través de su web.
El pasado 26 de
julio, Telegram integró en su aplicación la nueva herramienta Passport, un
método de autenticación para los servicios 'online' al que los usuarios pueden
subir sus documentos oficiales como pasaportes, carnet de conducir y datos
bancarios, e identificarse con ellos.
La desarrolladora de
Telegram explicó al anunciar la función que protegía la seguridad de los
archivos y las claves a través de mecanismos de encriptación de extremo a
extremo, presentes también en los mensajes de Telegram.
No obstante, desde
Virgil Security apuntan que esta API emplea un protocolo de encriptación de
archivos SHA-512 inadecuado para cifrar contraseñas, que quedan desprotegidas
ante ciberataques de fuerza bruta.
Passport utiliza una
contraseña como único mecanismo de protección para identificarse en servicios
externos. Debido al protocolo de encriptación utilizado, los ciberatacantes
pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para
el minado de criptomonedas para generar de manera automática combinaciones de
caracteres al azar.
Mediante este
mecanismo es posible averiguar cualquier contraseña de ocho caracteres de
longitud en 4,7 días. De esta manera, un ataque de fuerza bruta podría adivinar
cualquier contraseña de Telegram Passport con un coste de electricidad de entre
5 y 135 dólares (de 4,3 a 116 euros, al cambio), según estimaciones de Virgil.
Utilizando mecanismos
similares, se han producido filtraciones de contraseñas masivas recientemente.
LinkedIn perdió las contraseñas de 8 millones de usuarios en el año 2012 a
través de un ataque, y en el caso en 2013 de la web de descuentos LivingSocial,
perteneciente a Groupon, la cifra ascendió a los 50 millones de cuentas. En
ambos casos utilizaban el protocolo de encriptación SHA-1.
La compañía de
ciberseguridad ha llamado la atención sobre el uso de la encriptación de
extremo a extremo, que ha definido como un "arma de doble filo"
debido a la confianza de los usuarios en sistemas que en ocasiones no pueden
definirse como "verdadera encriptación de extremo a extremo",
recalcan.
Fuente: Europa Press