Il login SMS telegram è sicuro?

Naviga le tue risposte
0

TL; DR: Can 1) Un hacker casuale accede al mio account telegram inserendo il mio numero di telefono sul portale di autenticazione ufficiale di web.telegram.org e facendo hijhaking del codice SMS che invia? o

2) Un "ingegnere del telegramma" accede al mio account telegramma cambiando un po 'il sistema in modo tale che il codice SMS non sia inviato sulla rete GSM ma sul suo dispositivo?

Domanda completa: Ciao, sono preoccupato per una parte molto specifica del protocollo di sicurezza del telegramma. Ho letto molte critiche sul protocollo stesso, ma non ho ancora risposto alla mia domanda. So anche dei concorsi di sicurezza del telegramma, ma so che sono una cazzata perché diranno il telegramma solo contro gli attacchi KPA. Inoltre, non sto chiedendo delle chat segrete, so che sono crittografate end-to-end.

Mi sto chiedendo del contenuto delle chat basate sul cloud, che è conservato sui server di telegram. L'unico articolo che ho trovato sull'argomento è questo . Dichiara:

Since without E2EE Cloud Chat data is theoretically accessible, we use a unique distributed infrastructure to protect it. Cloud Chat data is stored in multiple data centers around the globe that are controlled by different legal entities spread across different jurisdictions. The relevant decryption keys are split into parts and are never kept in the same place as the data they protect. As a result, local intruders or engineers can't access this data, and several court orders from different jurisdictions are required to force us to give up any of it.

Thanks to this structure, we can ensure that no single government or block of like-minded countries can intrude on people's privacy and freedom of expression. Telegram can be forced to give up data only if an issue is grave and universal enough to pass the scrutiny of several different legal systems around the world.

As a result, we have disclosed 0 bytes of user data to third parties, including governments, to this day.

Suppongo che quando voglio accedere al mio account telegram da un nuovo dispositivo e che un token di autenticazione venga inviato al mio altro dispositivo telegramma, questa modalità di autenticazione è sicura, non solo nel senso che non può essere vista dagli hacker. In effetti, posso facilmente immaginare uno scenario in cui il server del telegramma genera un token che viene inviato al mio dispositivo e l'app di telegramma sul mio dispositivo calcola il codice a 6 cifre utilizzando sia il token che la mia chiave privata. In questo modo un dipendente del telegramma non può accedere al mio account anche se conosce il token generato sul server. (Spero di aver chiarito su questo punto, non ne sono così sicuro :))

Ma, continuando la citazione dell'articolo collegato:

If you are concerned about security in general, there are other important precautions you could take. Consider protecting your account by enabling 2-Step Verification and setting up a strong passcode to lock your app, then it won’t be possible to access your chats by stealing your device or even by intercepting your SMS code. You will find both options in ‘Settings’ under ‘Privacy and Security,’ ask me if you’d like more details.

Significa che se qualcuno inserisce il mio numero in web.telegram.org e poi intercetta il codice SMS, può semplicemente usarlo per accedere al mio account, facendo finta di essere io?

So che il token SMS funziona solo con i tasti generati dal dispositivo su cui sto tentando di accedere, ma un altro possibile scenario di attacco può essere il seguente: un "ingegnere telegramma" (non sono sicuro di come i dipendenti del telegramma sono organizzati o strutturati) modifica un po 'l'infrastruttura in modo tale che quando un login è richiesto, il token non mi viene inviato tramite SMS, ma salvato da qualche parte o in modo tale da essere inviato al suo dispositivo. Quindi può inserire il mio numero di telefono nel portale web ufficiale di web.telegram.org e accedere come me.

Si noti che in questi attacchi non è necessario violare alcuna giurisdizione né accedere a nessun database crittografato, solo per utilizzare il portale di accesso web esistente esistente.

Per favore, non rispondere con difetti standard di insicurezza del telegramma, né con una risposta RTFM a meno che non sia una parte molto specifica della documentazione che - mi scuso - non ho potuto trovare.

Grazie in anticipo.

    
posta melfnt 17.12.2018 - 20:23
fonte

1 risposta

0

Does that mean that if someone put my number into web.telegram.org and then intercept the SMS code she can just use it to log in to my account, pretending she is me?

Se non usi la verifica a 2 fattori, allora sì - è assolutamente possibile. Per questo l'utente malintenzionato deve conoscere il tuo numero di telefono e avere accesso al tuo dispositivo, poiché il numero di telefono verrà inviato ai server di Telegram tramite canali crittografati. È molto diverso dal fatto che un attaccante utilizzi qualcosa come un IMSI-catcher per intercettare gli SMS perché sono relativamente costosi - e di solito esistono modi meno costosi e meno elaborati per ottenere lo stesso risultato.

Ma sappi che in quel caso - quando un utente malintenzionato ha già acquisito una qualche forma di accesso al tuo dispositivo - una verifica a 2 fattori, o addirittura -autenticazione sarà molto probabilmente inutile se usi lo stesso dispositivo. Pertanto, utilizzo sempre un "dumbphone" per tutti i miei SMS di verifica a 2 fattori e posso solo consigliare a tutti di fare lo stesso. (Esiste anche la possibilità di un MITM, ma questo è un rischio generale e non rilevante qui.)

...A "telegram engineer" (I am not sure about how telegram employees are organized or structured) modifies the infrastructure a bit such that when a login is required, the token is not sent to me via SMS, but saved somewhere or such that it is sent to her device.

Devi avere fiducia nel loro software e presumere che nessuno possa accedere ai meccanismi coinvolti nella loro verifica tramite SMS o utilizzare la verifica a 2 fattori.

Note that in these attacks it is not required to break any jurisdictions nor to access any encrypted database, just to use the existent official web login portal.

Considera il software (-moduli ...) che usano per il meccanismo di verifica degli SMS anche come protetti in qualche modo.

In conclusione: si consiglia vivamente di abilitare la verifica in due passaggi (con una password sicura) e, se si è molto cauti, utilizzare la verifica delle chiamate telefoniche anziché la verifica tramite SMS.

    
risposta data 17.12.2018 - 20:59
fonte

Leggi altre domande sui tag

Le principali cose che un data center cloud potrebbe iniettare nel suo hardware Windows 10 sembra caricare la sessione prima che l'utente effettui il login, è sicuro?