Encryptie van Telegram blijkt niet 100% waterdicht
De app Telegram moet een veilig alternatief bieden voor populaire chatapps als WhatsApp. Geen enkele software is echter honderd procent waterdicht, ook Telegram niet. Twee beveiligingsonderzoekers hebben een kwetsbaarheid in Telegram aangetroffen waarmee versleutelde gesprekken kunnen worden gekraakt.
De kwetsbaarheid is ontdekt door Alex Rad en Juliano Rizzo. Het beveiligingsgat heeft vooral te maken met de wijze waarop gebruikers omgaan met de beveiliging van Telegram. Gebruikers van de beveiligde chatapp kunnen gebruik maken van end-to-end-encryptie. Wie dit wil zal visuele vingerafdrukken moeten vergelijken, die kan worden afgeleid uit de gedeelde geheime sleutel.
Visuele vingerafdruk uitwisselen
Gebruikers zijn vaak echter niet bij elkaar in de buurt aanwezig en kunnen dus niet zo maar naar elkaar toelopen om de visuele vingerafdruk te vergelijken. Veel gebruikers kiezen er daarom voor een screenshot te maken van de vingerafdruk en deze door te sturen naar hun gesprekspartner. Hier gaat het dan ook fout. Deze screenshot kan namelijk via een man-in-the-middle-aanval worden onderschept, waardoor de visuele vingerafdruk in handen valt van een aanvaller.
Door de mogelijkheid de visuele vingerafdruk af te leiden van de gedeelde geheime sleutel kunnen aanvallers daarnaast zelf een nepversie van de visuele vingerafdruk maken. Hier is echter wel een enorme hoeveelheid rekenkracht voor nodig. In de praktijk kan dan ook alleen een aanvaller die de beschikking heeft over een supercomputer of botnet een dergelijke visuele vingerafdruk namaken.
‘Aanvallen zijn zeer kostbaar’
Telegram stelt dan ook misbruik van de kwetsbaarheid in de praktijk niet haalbaar is. Gebruikers zouden maar liefst een biljoen dollar en 50 miljard kWh aan elektriciteit moeten inzetten om de beveiliging van een gesprek te kraken en deze af te kunnen luisteren. Voor geen enkel gesprek zou deze investering de moeite waard zijn. Telegram stelt dan ook dat gebruikers geen gevaar lopen.
Meer over
Lees ook
Shellshock-bug misbruikt om NAS-systemen aan te vallen
Hackers misbruiken de Shellshock-bug, ook bekend als de Bash-bug, inmiddels op grote schaal. Vooral NAS-systemen zijn populaire doelwitten om aan te vallen. Veel van deze apparaten draaien op Linux en zijn hierdoor kwetsbaar voor de bug in Bash. Beveiligingsonderzoekers van FireEye waarschuwt voor de grote hoeveelheid cyberaanvallen op NAS-systemen waarbij misbruik wordt gemaakt van de Shellshock-bug. De aanvallers geven zichzelf beheerdersrechten op de systemen, waarna zij de volledige controle over het apparaten kunnen overnemen. Onder andere NAS-systemen van fabrikant QNAP zouden een popul1
Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug
Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code u1
Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken
Microsoft dicht in een update een kwetsbaarheid in de Malware Protection Engine die het voor aanvallers mogelijk maakte virusscanners uit te schakelen. Deze engine is onderdeel van de beveiligingsoplossingen Security Essentials en Windows Defender. Het probleem is opgespoord door een onderzoeker van Google, die bij Microsoft aan de bel trok. Aanva1