Aplikáciu na posielanie zašifrovaných správ Telegram prelomili

Narušenie šifrovacieho algoritmu je matematicky takmer nemožné. Útočníci preto zvolili inú metódu, aby získali prístup k správam používateľov.

Jedna z najpoužívanejších aplikácii na bezpečnú komunikáciu bola prelomená. Útočníkom sa podarilo získať údaje z desiatok účtov a prístup k obrovskej databáze iránskych používateľov. Ako upozorňuje Reuters, ide o najväčší podobný útok na zabezpečený komunikačný systém. Obeťami aj útočníkom boli v tomto prípade takmer výhradne občania Iránu.

Za útokom stojí skupina hackerov označovaná ako “Rocket Kitten”, pri ktorej existujú podozrenia, že ju podporuje iránska vláda. Rovnako sa špekuluje nad tým, že SMS správy, ktoré boli dôležitou súčasťou operácie, poskytli skupine samotní prevádzkovatelia mobilných sietí, ktorí sú tiež pod kontrolou štátu. Obeťami útoku sa stali hlavne politickí aktivisti a členovia opozičných organizácií.

Keďže narušenie či prekonanie šifrovacieho algoritmu, ktorý Telegram používa, je matematicky takmer nemožné, útočníci si zvolili inú cestu. Ako väčšina podobných aplikácii, aj Telegram posiela pri pridávaní nového zariadenia k účtu potvrdzovaciu SMS správu s overovacím kódom.

Pokiaľ útočník dokáže správu zachytiť, nie je preň žiaden problém pridať si vlastné zariadenie k účtu obete. Vďaka tomu získa plný prístup k histórii konverzácií, ktorá je zdieľaná medzi zariadeniami. Dôvodom, prečo útočníci podobným spôsobom prelomili len relatívne málo účtov, je skutočnosť, že Telegram ponúka okrem SMS autentifikácie aj možnosť používať vlastné heslá či nastaviť potvrdzovanie cez e-mail.

Súčasťou útoku bolo aj získanie databázy používateľov. V tomto prípade nešlo ani tak o útok, ako o využitie verejne prístupnej API Telegramu. Povedané zjednodušene hackeri vložili do softvérového rozhrania umožňujúceho tretím stranám pristupovať k údajom a používať databázu aplikácie milióny telefónnych čísel a vrátilo im tie ktoré majú pridelené Telegram účet. Takýto krok v súčasnosti už nie je možný.

Práve podobné útoky spôsobili, že SMS správ postupne prestávajú byť preferované ako súčasť dvojstupňovej autentifikácie. Okrem možnosti, že SMS správu priamo poskytne útočníkom telekomunikačná spoločnosť, odborníci považujú za problém aj skutočnosť, že dnes už nie je možné rozoznať pôvod SMS správy ani jej autenticitu.

Situácia sa dostala tak ďaleko, že americký NIST (Národný inštitút štandardov a technológií) vo svojich najnovších odporúčaniach o tom, ako majú fungovať autentifikačné systémy, priamo pred používaním SMS správ varuje a odporúča prechod na iné spôsoby. Zatiaľ ho síce priamo nezakazuje, ale predpokladá sa, že v budúcnosti sa môže pristúpiť aj k tomuto kroku.

(JF)