martes, 20 de julio de 2021

Telegram soluciona vulnerabilidades criptográficas


     La aplicación Telegram ha experimentado un crecimiento en el número de usuarios en los últimos años. Eso no quita que de vez en cuando se descubran vulnerabilidades que pueden afectar a las comunicaciones de los usuarios. En esta ocasión, conocemos cuatro vulnerabilidades criptográficas en la aplicación.

Los criptógrafos de la universidad pública de investigación en Suiza,  ETH Zurich, y el colegio Royal Holloway de la Universidad de Londres han revelado estas vulnerabilidades y han informado a los desarrolladores. Se trata de 4 incidencias:
  • Crime-Pizza
  • Every bit of information is too much
  • Adjust your clocks
  • Piggy in the Middle

Las debilidades van desde "técnicamente triviales" hasta otras más avanzadas y de interés teórico, según el análisis. De esas cuatro, la más significativa es la primera, Crime-Pizza. En ella, un atacante sería capaz de alterar el orden de los mensajes enviados. La aplicación permite editar los mensajes, pero no alterar su orden de envío.

En una de las vulnerabilidades, un atacante así puede discernir cuál de los mensajes ha sido cifrado por un cliente o por un servidor, aunque para ello necesita circunstancias especiales para poder lograr su objetivo.

Además, recordemos que Telegram se basa en su propio protocolo de cifrado, llamado MTProto, en lugar de un protocolo más común como TLS. Desde la primera versión de Telegram, los criptógrafos han sido escépticos frente a este algoritmo. Son muchos los investigadores que nos recuerdan que este algoritmo no es 100% inmune a la explotación.

Los autores del estudio afirman en sus investigaciones que el riesgo para los usuarios es bajo, pero destacan que Telegram no ha cumplido con las garantías criptográficas que gozan otros protocolos criptográficos ampliamente extendidos.

Por último, la propia Telegram también se ha pronunciado y elogia a aquellos investigadores que ayudan a hacer el protocolo más seguro y les anima a contribuir para seguir mejorando la seguridad de la aplicación.

Imagen: Pixabay
Fuente: CyberScoop

No hay comentarios:

Publicar un comentario