一个国际计算机科学家团队周五报告说,他们在流行的加密消息应用程序 Telegram 中发现了四个加密漏洞。
根据安全分析,这些弱点范围“从技术上微不足道且易于利用到更先进且具有理论意义”。但最终他们证明了这四个关键问题“可以通过标准的密码学方法以更好、更安全和更值得信赖的方式解决,”苏黎世联邦理工学院教授肯尼帕特森说,他是发现该缺陷的团队的一员。
研究人员发现的最重要的漏洞是他们所谓的“犯罪披萨”漏洞。在其中,攻击者可以改变从客户端到 Telegram 运行的云服务器的消息顺序。
“例如,如果“我对”、“比萨”、“我对”说“不”、“犯罪”序列中的消息顺序发生了改变,那么看起来客户正在声明他们的愿意犯罪,”大学表示。
在一个更具理论性的漏洞中,攻击者可以辨别出两条消息中的哪一条是由客户端或服务器加密的,尽管这需要特殊情况才能这样做。
Telegram依赖于自己的 MTProto 加密协议,而不是像传输层安全性这样使用更广泛的协议。密码学家过去也曾以怀疑的眼光看待 MTProto。最新研究 提醒人们,虽然加密应用程序提供了很大程度的安全性,但它们并非 100% 不受利用。
来自瑞士公立研究型大学苏黎世联邦理工学院和伦敦大学皇家霍洛威学院的密码学家在 4 月份向 Telegram 披露了这些漏洞。加密的应用程序每月有超过 5 亿用户。
“对于大多数用户来说,直接风险很低,但这些漏洞突出表明 Telegram 没有达到其他广泛部署的加密协议所享有的加密保证,”一份大学摘要指出。
Telegram 写道,它针对这一披露做出了更改,“使研究人员提出的四项观察结果不再相关。”
它还强调指出,这些漏洞并不严重。“我们欢迎任何有助于使我们的协议更加安全的研究,”Telegram 说。“这些特殊的发现有助于进一步提高协议的理论安全性。”
