Esta vulnerabilidad reside en el sistema de protección de contraseñas SHA-512 que usa Telegram Passport, que emplea un algortimo que no está destinado para el almacenamiento de este tipo de claves y resulta vulnerable
Agencia
Municipiosur.com
La aplicación de mensajería Telegram incluye una vulnerabilidad a través de su función Telegram Passport, recientemente añadida, que emplea un protocolo para almacenar contraseñas que las deja desprotegidas ante ciberataques de fuerza bruta (destinados a conseguir credenciales, bombardean con mensajes el sistema hasta conseguirlo), así como los documentos oficiales almacenados.
Esta vulnerabilidad reside en el sistema de protección de contraseñas SHA-512 que usa Telegram Passport, que emplea un algortimo que no está destinado para el almacenamiento de este tipo de claves y resulta vulnerable, como ha alertado la compañía de ciberseguridad Virgil Security a través de su web.
El pasado 26 de julio, Telegram integró en su aplicación la nueva herramienta Passport, un método de autenticación para los servicios ‘online’ al que los usuarios pueden subir sus documentos oficiales como pasaportes, carnet de conducir y datos bancarios, e identificarse con ellos.
La desarrolladora de Telegram explicó al anunciar la función que protegía la seguridad de los archivos y las claves a través de mecanismos de encriptación de extremo a extremo, presentes también en los mensajes de Telegram. No obstante, desde Virgil Security apuntan que esta API emplea un protocolo de encriptación de archivos SHA-512 inadecuado para cifrar contraseñas, que quedan desprotegidas ante ciberataques de fuerza bruta.
Passport utiliza una contraseña como único mecanismo de protección para identificarse en servicios externos. Debido al protocolo de encriptación utilizado, los ciberatacantes pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para el minado de criptomonedas para generar de manera automática combinaciones de caracteres al azar.