martes, 29 de abril de 2014

Descubren un grave fallo de seguridad en Telegram



NOTICIA DE MOVILZONA.ES

Investigadores del Inteco han descubierto un grave fallo de seguridad en los servidores de Telegram que permitiría a un atacante acceder a toda la información de los usuarios e incluso suplantar la identidad de los mismos ante los servidores de la aplicación de mensajería rival de WhatsApp. Todo esto en medio de los problemas con el servicio secreto ruso que ha motivado la salida de su fundador del país.


Para una aplicación como Telegram, que basa su antagonismo con WhatsApp en la seguridad de sus sistemas, el descubrimiento de un grave problema que pone en jaque los datos de los usuarios es de especial importancia. Cabe decir que, como cualquier software, esto iba a pasar tarde o temprano y como recogen los compañeros de RedesZone, los investigadores que la han destapado hoy no lo han hecho a la ligera y llevan desde el 7 de marzo analizando el problema, que fue presentado a los responsables de Telegram el pasado 11 de marzo.

Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, aunque todo lo relacionado con el servidor trabaja a través de una API y no se ha abierto el código de ello en ningún momento. La vulnerabilidad en cuestión, explican, no está en la aplicación que se instala, sino que está localizada en los mecanismos de autenticación entre cliente y servidor. Este sistema puede ser ingnorado ya que el servidor no verifica la legitimidad de las claves públicas de Telegram, lo que permitiría a un atacante conseguir el control casi completo de la cuenta del usuario, accediendo a sus conversaciones, archivos compartidos y claves, que le permitirían hasta la posibilidad de suplantar la identidad del mismo de cara al servidor.

Es evidente que si es un problema que está ya en manos de los creadores de la aplicación estará siendo preparado el correspondiente parche de esta vulnerabilidad pero si Telegram no quiere perder el prestigio y los usuarios ganados en los últimos tiempos frente a WhatsApp y establecerse como una alternativa segura a ésta, deberá hilar mucho más fino con su código.

Momento complicado para Telegram por la huida de Rusia de su fundador

Este fallo, y quzás el motivo del retraso en su reparación, puede estar motivado por los problemas que hay en la empresa tras el exilio de Pavel Durov, quien el pasado jueves explicaba que se negó a entregar al Servicio Federal Ruso (FBS) información personal de los organizadores del grupo Euromaidan, uno de los responsables de la protesta pro-europea en Ucrania.

Esto ha provocado que Durov, quien también fue fundador de VKontakte, rival de Facebook en Rusia con más de 100 millones de usuarios, se haya marchado de su país y, en las últimas horas, se ha informado que pasaba a ser ciudadano de St. Kitts and Nevis a cambio de una donación al país de 250.000 dólares a la industria azucarera del país.

Mientras la red social Vkontakte ha pasado a estar controlada por su CEO Igor Sechin, al que se le relaciona estrechamente con el Kremlin, y por el accionista ruso Alisher Usmanov, no hay noticias de cómo queda la situación para Telegram.

|----------|

Inteco Researchers have discovered a serious security flaw in Telegram servers that could allow an attacker to access all the user information and even impersonate them to servers implementing messaging WhatsApp opponent . All this in the midst of problems with the Russian secret service has led to the departure of its founder the country.


For an application like Telegram, which bases its antagonism with WhatsApp in the security of their systems , the discovery of a serious problem that puts in check the user data is particularly important . It must be said that, like any software , this would happen sooner or later and as co- RedesZone collected , researchers have uncovered today that they have not done lightly and carry from March 7, analyzing the problem, which was submitted to the responsible Telegram on 11 March.

Telegram is a instant messaging client WhatsApp but very similar to semi -open -source , the words, the client is open source , but everything related to the server works through an API and has not been open sourced it in no time. The vulnerability in question, he explained , is not in the application is installed , it is located on the authentication mechanisms between client and server. This system can be ingnorado because the server does not verify the legitimacy of public keys Telegram , allowing an attacker to achieve almost complete control of the user's account , accessing their conversations, shared files and keys that allow you to possibility to impersonate the same face to the server.

Obviously if it is a problem that is already in the hands of the creators of the application is being prepared a patch for this vulnerability but Telegram not want to lose the prestige and users won in recent times against WhatsApp and established as a safe alternative to it , shall spun much finer with your code.

Complicated for Telegram moment Russian flight of its founder

This failure , and quzás the reason for delay in repair, may be motivated by the problems that exist in the company after the exile of Pavel Durov , who explained that on Thursday refused to surrender to Russian Federal Service (FBS ) personal information Euromaidan organizers of the group, one of the leaders of the pro - European protest in Ukraine.

This has caused Durov , who was also founder of VKontakte , Facebook rival in Russia with over 100 million users, has left his country and in the last few hours , it is reported that he would become a citizen of St. Kitts and Nevis in exchange for a donation of $ 250,000 to the country 's sugar industry.

While the social network Vkontakte has come to be controlled by its CEO Igor Sechin, who is closely related to the Kremlin and the Russian shareholder Alisher Usmanov , no news of how the situation is Telegram .

No hay comentarios: