В Telegram Passport найдена лазейка для удачной брутфорс-атаки

В Telegram Passport найдена лазейка для удачной брутфорс-атаки

В Telegram Passport найдена лазейка для удачной брутфорс-атаки

Не успел Telegram анонсировать нововведение под названием Passport, как пользователи начали находить в нем проблемы безопасности. Об одной из таких уязвимостей сообщил пользователь Habr, известный под псевдонимом Scratch.

Согласно сообщению Scratch, в Telegram Passport есть бреши, которые потенциально могут помочь злоумышленникам похитить персональные данные.

Исследователь утверждает, что вся проблема кроется в алгоритмах шифрования, которые используются в новом сервисе от популярного мессенджера.

Похоже, что компания просто перемудрила, так как разработчики не используют сквозное шифрование в прямом смысле, а задействуют собственную разработку. Таким образом, схема выглядит приблизительно так: в облако передаются зашифрованные личные данные, случайный криптографический ключ и хеш этих данных, смешанный со случайными байтами.

Эксперт уверяет, что всего вышеозначенного достаточно для успешного проведения атаки вида брутфорс, которая позволит киберпреступникам завладеть информацией пользователя.

«Это далеко не “случайный шум”, тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее, чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретённые авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участия самих данных в формировании ключа их же шифрования и хэша от данных вместо HMAC», — пишет Scratch.

В качестве одного из методов защиты эксперты предлагает использовать длинные пароли (не менее 8 символов), в этом случае преступникам будет куда сложнее подобрать необходимые для доступа данные.

Напомним, что Telegram Passport на днях также подвергся критике со стороны Антона Розенберга, бывшего партнера Павла Дурова. Господин Розенберг считает, что новый сервис непрозрачен и небезопасен.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru