Encryptie van Telegram blijkt niet 100% waterdicht

  1. 13 jan 2015
  2. 0 reacties

encryptie

De app Telegram moet een veilig alternatief bieden voor populaire chatapps als WhatsApp. Geen enkele software is echter honderd procent waterdicht, ook Telegram niet. Twee beveiligingsonderzoekers hebben een kwetsbaarheid in Telegram aangetroffen waarmee versleutelde gesprekken kunnen worden gekraakt.

De kwetsbaarheid is ontdekt door Alex Rad en Juliano Rizzo. Het beveiligingsgat heeft vooral te maken met de wijze waarop gebruikers omgaan met de beveiliging van Telegram. Gebruikers van de beveiligde chatapp kunnen gebruik maken van end-to-end-encryptie. Wie dit wil zal visuele vingerafdrukken moeten vergelijken, die kan worden afgeleid uit de gedeelde geheime sleutel.

Visuele vingerafdruk uitwisselen

Gebruikers zijn vaak echter niet bij elkaar in de buurt aanwezig en kunnen dus niet zo maar naar elkaar toelopen om de visuele vingerafdruk te vergelijken. Veel gebruikers kiezen er daarom voor een screenshot te maken van de vingerafdruk en deze door te sturen naar hun gesprekspartner. Hier gaat het dan ook fout. Deze screenshot kan namelijk via een man-in-the-middle-aanval worden onderschept, waardoor de visuele vingerafdruk in handen valt van een aanvaller.

Door de mogelijkheid de visuele vingerafdruk af te leiden van de gedeelde geheime sleutel kunnen aanvallers daarnaast zelf een nepversie van de visuele vingerafdruk maken. Hier is echter wel een enorme hoeveelheid rekenkracht voor nodig. In de praktijk kan dan ook alleen een aanvaller die de beschikking heeft over een supercomputer of botnet een dergelijke visuele vingerafdruk namaken.

‘Aanvallen zijn zeer kostbaar’

Telegram stelt dan ook misbruik van de kwetsbaarheid in de praktijk niet haalbaar is. Gebruikers zouden maar liefst een biljoen dollar en 50 miljard kWh aan elektriciteit moeten inzetten om de beveiliging van een gesprek te kraken en deze af te kunnen luisteren. Voor geen enkel gesprek zou deze investering de moeite waard zijn. Telegram stelt dan ook dat gebruikers geen gevaar lopen.

Meer over
Lees ook
Dropbox: ''Geheime URL' naar gedeelde Dropbox-bestanden kon uitlekken'

Dropbox: ''Geheime URL' naar gedeelde Dropbox-bestanden kon uitlekken'

Dropbox is getroffen door een kwetsbaarheid. Gebruikers kunnen links naar ieder bestand of folder doorsturen naar anderen. Alleen gebruikers die deze link hebben kunnen de bestanden openen. Deze link blijkt echter onbedoeld te kunnen uitlekken. Het probleem is inmiddels opgelost. Websites kunnen zien van welke website een bezoeker afkomstig is via1

Ernstige kwetsbaarheid in OAuth en OpenID maakt gevaar van phishingaanvallen een stuk groter

Ernstige kwetsbaarheid in OAuth en OpenID maakt gevaar van phishingaanvallen een stuk groter

Een nieuwe kwetsbaarheid geeft cybercriminelen de mogelijkheid phishingaanvallen een stuk beter te verbergen. Doorgaans zijn dergelijke aanvallen te herkennen aan een verdachte URL, die niet overeenkomt met de URL van een legitieme website. Een fout in de open source-protocollen OAuth en OpenID maakt het echter mogelijk ook de URL van een malafide1

Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft heeft het ernstige beveiligingslek in Internet Explorer gedicht. Het Amerikaanse IT-bedrijf ook een update uit voor Windows XP, waarmee de kwetsbaarheid ook op dit verouderde besturingssysteem wordt gedicht. Het is opvallend dat Microsoft ook voor Windows XP een update heeft uitgebracht, aangezien het besturingssysteem sinds 8 april 20141