一個國際計算機科學家團隊周五發表了一篇報告說,他們對流行的加密消息應用程序Telegram進行了四次攻擊,這些攻擊利用了Telegram的加密系統MTProto 2.0中的四個漏洞。每月有超過5億用戶通過Telegram應用程序進行安全通信,因此任何可能破壞加密協議的發現都至關重要,并可能產生廣泛而深刻的影響。
研究人員發現的四個漏洞如下所示:
1. 攻擊者可以對從客戶端發送到平臺服務器的消息進行重新排序。這種攻擊執行起來很簡單,并且用戶可能會因為被惡意更改的消息內容而引來麻煩。
2. 攻擊者可以檢測哪些消息在客戶端加密,哪些消息在服務器端加密。這是一種主要具有理論意義而非實際意義的攻擊。
3.有一種方法可以從所有Telegram客戶端(Android、IOS、桌面)的加密消息中恢復一些明文,這基本上破壞了平臺中交換的消息的機密性。
4. 惡意個人可以利用Telegram客戶端應用程序和平臺服務器之間的初始密鑰協商來發起“中間人”攻擊。最終結果是將服務器模擬到客戶端,以可讀形式接收所有消息。
Telegram依賴于自己的MTProto加密協議,而不是像傳輸層安全性這樣廣泛使用的協議。密碼學家過去也曾懷疑MTProto加密協議的安全性。此次研究人員的發現提醒人們,雖然Telegram加密應用程序在很大程度上能夠提供安全性,但它們并非百分百不受攻擊。雖然對于大多數用戶而言,被攻擊的風險很低,但這些漏洞突出表明Telegram沒有達到其他廣泛部署的加密協議所享有的加密保證。
目前,Telegram已經解決了上述所有問題。攻擊場景1、2和4已在適用于Android的7.8.1、適用于iOS的7.8.3和適用于Telegram桌面客戶端應用程序的2.8.8版本中修復,而攻擊3已在上個月修復。
