Tecnologia prometida pelo Telegram em ICO é vulnerável a ataques, revelam pesquisadores
Com US$1,7 bilhão no banco após sua oferta inicial de moedas (ICO), o Telegram publicou sua primeira ferramenta relacionada com criptomoedas – entretanto, pesquisadores do ramo de segurança estão céticos em relação a ela.
Leia mais: Balanço Geral das Criptos no mês de Julho e em 2018
Conforme detalhado em uma postagem feita hoje, a Virgil Security, uma startup estadunidense, identificou diversas vulnerabilidades no novo aplicativo de verificação de identidade, chamado Passport. Embora a companhia tenha elogiado o Telegram por publicar a API do aplicativo como open source, permitindo que o código seja checado por outros especialistas, a empresa detalhou dois problemas do aplicativo: como ele encripta os dados e como ele protege dados armazenados.
“O compromisso deles com a transparência dá aos especialistas em segurança a oportunidade de avaliar a implementação do aplicativo e, idealmente, ajudar a melhorá-lo,” afirmou Alexey Ermishkin, da Virgil Security, na postagem da companhia.
Ele completou:
“Infelizmente, a segurança do Passport desaponta de diversas formas.”
O Telegram nunca anunciou ou confirmou publicamente a existência de sua ICO bilionária. Contudo, conforme os documentos começaram a vazar no início do ano, tornou-se claro que a companhia, mais conhecida pelo seu aplicativo de mensagens, objetiva competir com muitos dos serviços – desde compartilhamento de dados até navegador encriptado – que diversas cripto startups já oferecem ou ofereceram.
Ademais, a empresa quer implementar pagamentos baseados em blockchain em seu aplicativo de mensagens, que nos últimos anos se tornou muito popular junto à cripto comunidade.
Pagamentos e verificação de identidade andam de mãos dadas, tornando o Passport uma oferta inicial natural da companhia. Além disso, superar aplicativos de identidade digital como o Equifax, que mantem seus dados em bases centralizadas, vulneráveis a invasão e abuso, tem sido um objetivo compartilhado da comunidade das criptomoedas, sendo este um bom lugar para o Telegram começar.
Em sua postagem sobre o novo produto, o Telegram prometeu que seus documentos de identidade e dados pessoais serão armazenados na nuvem da empresa, utilizando encriptação de ponta a ponta. Eles são encriptados com uma senha que apenas você saberá, de forma que o Telegram não tenha acesso a estes dados.
A empresa promete ainda que, eventualmente, estes dados serão armazenados de forma descentralizada. Identidade foi um dos componentes do ambicioso sistema baseado em blockchain que o Telegram prometeu em seu whitepaper.
Contudo, tendo em vista as descobertas da Virgil Security, o Telegram precisa voltar para a fase de planejamento.
Leia mais: Bithumb desabilita criação de novas contas após falhar em firmar parceria com bancos
Força bruta
A principal crítica da Virgil Security em relação à segurança do Passport é a forma como ele encripta suas senhas.
Ao anunciar o Passport, o Telegram publicou uma quantidade considerável de informação sobre como o sistema funciona. Em particular, a Virgil Security foca no fato de que o Telegram utiliza a hash SHA-512 para encriptar senhas.
“É 2018 e uma GPU de alto nível pode checar por meio de força bruta 1,5 bilhão de hashes SHA-512 por segundo,” eles escreveram.
A startup de segurança estima ainda que, com computadores suficientes, estas senhas podem ser quebradas de qualquer lugar por US$5 ou US$135, dependendo da força das senhas que os usuários escolherem.
Entretanto, antes que um invasor possa iniciar seu ataque, ele precisa primeiro invadir o Telegram, reconheceu a Virgil.
“Para acessar as hashes das senhas, o ataque deve ter como alvo o Telegram. As formas como isso pode acontecer são diversas — ameaça interna, spearphish, uma porta USB comprometida, etc,” afirmou o co-fundador da Virgil Security, Dmitry Dain.
Se muitos usuários começarem a utilizar e carregarem o Passport com seus dados, o Telegram se tornará um alvo muito atraente.
O Telegram já foi muito criticado por adotar sua própria postura em relação a criptografia, em vez de depender de padrões já estabelecidos. Isto posto, não há notícias de que o modelo da empresa já tenha sido quebrado.
Dados sem assinatura
O outro perigo para os usuários apontado pela Virgil Security é um pouco mais nuançado: o fato de que os dados incluídos no Passport não são assinados.
Ao criptograficamente assinar os dados (uma parte integral da arquitetura blockchain), usuários podem verificar rapidamente se os dados foram incluídos pela pessoa que alega ter realizado a ação, e que isto não foi alterado.
Sem uma assinatura criptográfica, um invasor pode mudar algumas partes dos dados e ninguém saberá.
A Virgil Security argumenta em sua postagem:
“Agora, quando as pessoas enxergam ‘encriptação de ponta a ponta’, elas acreditam que seus dados serão enviados a um terceiro de forma segura, sem a preocupação de que eles sejam decriptados e adulterados. Infelizmente, usuários do Passport terão um falso senso de confiança.”
Desta forma, com as críticas da Virgil Security e com o recente lançamento do produto, deve ser relativamente simples para o Telegram fortalecer seu processo de segurança (a própria Virgil Security é uma provedora de encriptação ponta a ponta).
O Telegram, por sua vez, ainda não se manifestou.
Leia mais: CoinMarketCap lança API “mais robusto”
Fonte: CoinDesk