HanDs
管理员

近期接连爆出的Telegram漏洞到底是怎么回事? 



4391fe79983684f2344f47e9bd103660.jpg

最近这两天,号称“最安全”的通讯应用Telegram接连爆出漏洞,又是剪贴板信息泄露,又是1500万伊朗用户手机号曝光,究竟这两个漏洞有多危险呢?

漏洞1:粘贴信息泄露

研究员Kirill Firsov发现了这个漏洞:在OS X版本的Telegram中,复制粘贴到Telegram上的文本会被记录到/var/log/system.log(syslog)中。这样某些私密的聊天记录就被保存了下来。

1.png

Mac系统一般会保存7天的日志,不过攻击者得要有物理接触才能访问到日志。不过在企业环境系统下,日志信息会发送到专门的日志服务器,这样就可能会带来更大的安全隐患。

对此,Telegram创始人Pavel Durov解释称,读取日志的难度很大,而且实际上相比普通的剪切板复制粘贴安全得多,因为任何应用都可以读取你的剪切板。

不过Pavel Durov说,Telegram还是在漏洞公开后马上修复了,所以现在用户们用的软件应该都没什么问题了。

漏洞2:1500万伊朗用户手机号泄露

download.jpg

就在粘贴信息泄露爆出的第二天,又有伊朗黑客声称,他们攻陷了数十个Telegram账号,然后泄露了1500万伊朗用户手机号。

Telegram在全球有一亿用户,而在伊朗的Telegram用户大约有2000万,这主要是因为Telegram提供了端对端的加密,能够保障用户密钥只有用户拥有,即便是Telegram公司也无法访问到消息数据。而在伊朗这样的国家,大量的异见人士、新闻记者、甚至普通群众对通讯安全十分重视,因此它吸引了大量用户。

1500万用户手机号泄露,看起来已经把75%的伊朗用户手机号泄露完了,那这个漏洞严不严重呢?

Telegram的博客对此作出了解释:

有人检查了那些手机号码有没有在Telegram进行注册,然后确认了这1500万个手机号。结果黑客只是获得了那些公开数据,并没有进入过那些账号。

Telegram还说,黑客使用API对手机有没有注册Telegram进行了测试,而公司今年会引入一种对API查询的限制,可以阻止这种大量检测。

“不过,Telegram是基于手机通讯录的,任何人还是能够查到某个手机号有没有注册账号”,Telegram补充说,”各大基于通讯录的聊天软件也都是这样做的(WhatsApp, Messenger等)。”

黑客在报告中所提的另一点是:登录过程中的验证短信可能被他人获取,他们就是使用SS7获取验证短信从而登录了那几十个账号。由于伊朗的手机通讯供应商都掌握在政府手中,黑客担心伊朗政府可能会利用这一点,截取异见人士的验证短信,进而登录他们的账号。

Telegram在博客中表示,截获验证短信其实已经很难说是新威胁了,公司一直在警告某些国家的用户小心短信被截取。建议用户们开启两部验证来防范这种攻击。

事实上发送验证短信是各大通信软件的通行做法,这在一般人看来好像没什么问题,但伊朗用户对于安全的重视程度要比一般人高得多,因此,对于他们来说,这样的安全措施还是不够的。

*参考来源:Reuters & ZDNet & Telegram & NakedSecurity,FB小编Sphinx编译,转载请注明来自FreeBuf.COM)


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
近期 接连 爆出 T el eg ra m 漏洞 到底 怎么 回事
#1楼
发帖时间:2016-8-8   |   查看数:0   |   回复数:0
游客组
快速回复