Encryptie van Telegram blijkt niet 100% waterdicht
De app Telegram moet een veilig alternatief bieden voor populaire chatapps als WhatsApp. Geen enkele software is echter honderd procent waterdicht, ook Telegram niet. Twee beveiligingsonderzoekers hebben een kwetsbaarheid in Telegram aangetroffen waarmee versleutelde gesprekken kunnen worden gekraakt.
De kwetsbaarheid is ontdekt door Alex Rad en Juliano Rizzo. Het beveiligingsgat heeft vooral te maken met de wijze waarop gebruikers omgaan met de beveiliging van Telegram. Gebruikers van de beveiligde chatapp kunnen gebruik maken van end-to-end-encryptie. Wie dit wil zal visuele vingerafdrukken moeten vergelijken, die kan worden afgeleid uit de gedeelde geheime sleutel.
Visuele vingerafdruk uitwisselen
Gebruikers zijn vaak echter niet bij elkaar in de buurt aanwezig en kunnen dus niet zo maar naar elkaar toelopen om de visuele vingerafdruk te vergelijken. Veel gebruikers kiezen er daarom voor een screenshot te maken van de vingerafdruk en deze door te sturen naar hun gesprekspartner. Hier gaat het dan ook fout. Deze screenshot kan namelijk via een man-in-the-middle-aanval worden onderschept, waardoor de visuele vingerafdruk in handen valt van een aanvaller.
Door de mogelijkheid de visuele vingerafdruk af te leiden van de gedeelde geheime sleutel kunnen aanvallers daarnaast zelf een nepversie van de visuele vingerafdruk maken. Hier is echter wel een enorme hoeveelheid rekenkracht voor nodig. In de praktijk kan dan ook alleen een aanvaller die de beschikking heeft over een supercomputer of botnet een dergelijke visuele vingerafdruk namaken.
‘Aanvallen zijn zeer kostbaar’
Telegram stelt dan ook misbruik van de kwetsbaarheid in de praktijk niet haalbaar is. Gebruikers zouden maar liefst een biljoen dollar en 50 miljard kWh aan elektriciteit moeten inzetten om de beveiliging van een gesprek te kraken en deze af te kunnen luisteren. Voor geen enkel gesprek zou deze investering de moeite waard zijn. Telegram stelt dan ook dat gebruikers geen gevaar lopen.
Meer over
Lees ook
Mediaserver van Android bevat opnieuw kwetsbaarheid
Opnieuw blijkt de mediaserver van Android een kwetsbaarheid te bevatten. Met behulp van de kwetsbaarheid kunnen aanvallers eigen code uitvoeren op het niveau van de mediaserver, die onder andere toegang heeft tot internet, de camera en de microfoon van Android-apparaten. Het beveiligingslek is ontdekt door Trend Micro en bevindt zich in het AudioE1
OpenSSL bevat opnieuw beveiligingsgat
Opnieuw is een kwetsbaarheid aangetroffen in OpenSSL. Aanvallers kunnen met behulp van het lek kwetsbare applicaties dwingen een ongeldig certificaat als een legitiem transport layer security (TLS) of secure sockets layer (SSL) certificaat te behandelen. Het lek is aangetroffen door Adam Langley, cryptografisch engineer bij Google, en David Benjam1
NAS-systemen van Seagate bevatten ernstige kwetsbaarheid
Een reeks NAS-systemen van Seagate blijkt een ernstige kwetsbaarheid te bevatten, waardoor gebruikers op afstand code kunnen laten uitvoeren op de systemen. Het gaat om de Business Storage 2-bay NAS. De vinder stelt contact te hebben gehad met Seagate, dat na maanden nog steeds geen oplossing heeft gelanceerd. Onderzoekers van Beyond Binary schrij1