iPhone & iPad

Павел Дуров заплатит российскому хакеру $100 000 за найденную в мессенджере Telegram уязвимость

7
6

Конкурс на расшифровку личной переписки Павла Дурова в мессенджере Telegram для iOS с призом в $200 000, объявленный на прошлой неделе, уже дал первые результаты. Как сообщает Slon, российский хакер под ником x7mz нашел в приложении уязвимость, потенциально позволяющую серверу Telegram узнать ключ от зашифрованного чата.

telegram-durov-1

Уязвимость была вызвана измененной реализацией протокола Диффи-Хеллмана – разработчики Telegram подтвердили некорректность работы алгоритма. Впрочем, по их словам, изменения в реализацию были внесены «из лучших побуждений», как решение проблемы недостаточно криптостойких генераторов случайных чисел, используемых на стороне клиентского приложения.

В настоящий момент уязвимость уже закрыта. Несмотря на то что утечек данных не было, а личная переписка Дурова так и осталась тайной, владелец Telegram пообещал, что x7mz получит награду в размере $100 000.

«Эта история заставляет в очередной раз восхититься российскими программистами. Целую неделю маститые американские криптографы на HackerNews безуспешно цеплялись к протоколу – в основном с требованием заменить наше решение на алгоритмы, которые продвигает АНБ в своем Suite B. А российский программист, называющий себя “новичком”, смог с ходу определить потенциально уязвимое место в секретных чатах. (…) Продолжаем искать – вместе мы сделаем протокол нерушимым», – прокомментировал Дуров случившееся «ВКонтакте».

Telegram представляет собой мессенджер, похожий на WhatsApp, но «лучший в любом из аспектов». Приложение предлагает возможность приватной переписки, для чего используются защищенные от прослушивания алгоритмы шифрования.

Telegram-Messenger-1

Мессенджер также поддерживает функцию секретных чатов, в которых не сохраняются логи. Также есть возможность прикреплять к сообщениям таймер самоуничтожения. В настройках можно найти пункт, позволяющий выйти из всех сессий на других устройствах. Для синхронизации нескольких устройств отправляемые данные сохраняются в зашифрованном облаке.

7 комментариев

Написать комментарий