Bericht: Telegram Passport ist anfällig für Brute-Force-Angriffe

Das kürzlich veröffentlichte Autorisierungs-Tool für persönliche Identifizierung von der Messenger App Telegram namens Telegram Passport ist anfällig für Brute-Force-Angriffe, so ein Bericht von Virgil Security, Inc.

Am 26. Juli kündigte Telegram die Einführung von Telegram Passport an. Dieses Tool hat den Zweck, die persönlichen ID-Informationen der Nutzer zu verschlüsseln und ihnen zu ermöglichen, ihre ID-Daten an Dritte, wie zum Beispiel Initial Coin Offerings ICOs, Krypto-Wallets und alle, die sich an Know Your Customer (KYC)-Vorschriften halten, weiterzugeben.

Die Daten der Nutzer werden in der Telegram-Cloud mittels Ende-zu-Ende-Verschlüsselung aufbewahrt und anschließend in eine dezentrale Cloud verschoben, die persönliche Daten nicht entschlüsseln kann, da sie als "Zufallsrauschen" angesehen werden. Allerdings hat Virgil Security in ihrer jüngsten Untersuchung Bedenken hinsichtlich des Passwortschutzes bei dem Dienst geäußert.

Laut Virgil Security verwendet Telegram SHA-512, einen Hash-Algorithmus, der nicht dazu gedacht ist, Passwörter zu hashen. Dieser Algorithmus macht Passwörter anfällig für Brute-Force-Angriffe, selbst wenn er mit Salt arbeitet. In der Kryptographie wird ein Salt als zusätzlicher geheimer Wert am Ende der Eingabe hinzugefügt, wodurch die Länge des ursprünglichen Passworts länger und so ein zusätzlicher Schutz geboten wird.

Wenn ein Nutzer persönliche Daten verschlüsselt, werden diese Berichten zufolge in die Telegram-Cloud hochgeladen und wenn ein Nutzer die Authentizität bei einem Drittanbieterdienst bestätigen muss, entschlüsselt er diese Daten und verschlüsselt sie für die Zugangsdaten dieses Dienstes erneut. All diese Faktoren tragen Berichten zufolge dazu bei, dass die Passwort-Hash-Tabelle eines Nutzers sehr effizienten Hackerangriffen ausgesetzt ist. Das Unternehmen erklärt weiter:

"Die Sicherheit der Daten, die Sie in die Telegram-Cloud hochladen, hängt hauptsächlich von der Stärke Ihres Passworts ab, da Brute-Force-Angriffe mit dem gewählten Hashing-Algorithmus leicht durchzuführen sind. Und das Fehlen einer digitalen Signatur ermöglicht es, Ihre Daten zu ändern, ohne dass Sie oder der Empfänger das merken."

Im März berichteten die Gründer von Telegram Pavel und Nikolai Durov, dass sie in der zweiten Runde ihres ICO umgerechnet etwa 730 Mio. Euro für die Entwicklung der Telegram-Messenger-App und ihrer eigenen Blockchain Telegraph Open Network (TON) aufgebracht haben. Gegen Ende Mai wurde der Plan von Telegram, ein ICO zu starten, aufgrund der Tatsache, dass die Messaging-App bei ihren beiden privaten ICO-Runden genügend Geld aufgebracht hatte, widerrufen.