El cifrado de los chats secretos de Telegram puede ser fácilmente hackeado

Escrito por Rubén Velasco
Seguridad
9

Telegram es un cliente de mensajería que nació con el principal objetivo de rivalizar con WhatsApp, actual líder de mercado. Una de las principales características de este cliente es que es de código abierto (en la parte del usuario o cliente, el servidor es de código cerrado), lo que ha dado ciertas garantías en cuanto a seguridad y privacidad, así como una oportunidad a los desarrolladores de lanzar clientes para todos los sistemas y ganar así un gran número de usuarios, especialmente en PC.

Recientemente se ha podido descubrir una vulnerabilidad en el protocolo de cifrado de los “Secret Chats” o chats privados de Telegram que, en teoría, aplican un cifrado punto a punto mucho más agresivo que el de las conversaciones para evitar por todos los medios que estas puedan ser descifradas en ningún punto intermedio del viaje entre el emisor y el receptor.

Utilizando un exploit es posible acceder al núcleo del cliente de mensajería, desde donde se puede llegar a conseguir un fallo a la hora de gestionar los mensajes privados comprometiendo la seguridad de los mismos. Explotando la vulnerabilidad los investigadores de seguridad han sido capaces de ver en la memoria del proceso los chats en texto plano, sin ningún tipo de cifrado. Igualmente se han podido ver estas conversaciones que en teoría deberían ser cifradas dentro de un fichero llamado “Cache4.db“. Este fallo de seguridad permite recuperar partes de la conversación (hasta conversaciones completas) incluso una vez que se ha eliminado el chat del dispositivo.

telegram_android_foto_1

Pese a que la compañía llevó a cabo varios “concursos” con interesantes recompensas económicas para animar a los usuarios a que buscaran vulnerabilidades en el servicio, finalmente la seguridad de Telegram ha sido vulnerada. Con sus más de 50 millones de usuarios, esta vulnerabilidad debe considerarse como “grave” ya que expone la confianza de todos sus usuarios que piensan que los chats secretos garantizan una privacidad aún mayor de las conversaciones cuando, en realidad, no es así. Los expertos de seguridad afirman que los usuarios que utilicen Telegram para garantizar su privacidad en las conversaciones, realmente no podrán evitar que los hackers puedan accedan a ellas.

Esta vulnerabilidad fue descubierta hace ya más de 30 días, sin embargo, al reportarse y no haber recibido respuesta por parte de los desarrolladores, ha sido ahora cuando finalmente se ha hecho pública. Habrá que esperar a ver si los responsables de Telegram actualizan el cliente y el servidor para evitar que esto ocurra de nuevo o, de lo contrario, la empresa deja su cliente de mensajería como “vulnerable”.

¿Qué opinas sobre el fallo de seguridad en la privacidad de Telegram? ¿Crees que realmente es más seguro que WhatsApp pese al nuevo cifrado que aplica el cliente de Facebook?

Fuente: Info-Security


Continúa leyendo
  • PGonz

    Si tienes acceso root a uno de los extremos de una encriptación end-to-end, nada es seguro, podrías leer cualquier cosa, queda bastante claro aquí https://news.ycombinator.com/item?id=9095059

  • Edertano

    Pues la verdad, esto del cifrado… yo llevo años usando line, hangout… y sus mensajes no son cifrados. Creo que a la gran mayoría que usa esto les da igual, y los que tienen que decir “secretos” de empresa, creo que utilizarán correos cifrados u otro medio con mayor seguridad.

    • Guillermo

      El verdadero problema de los emails no es su seguridad, sino que el propio gobierno se pasa por el forro (sobretodo el estadounidense) las leyes de privacidad y manda a agentes a las instalaciones de los servidores para que el propietario les entregue ‘o si o también’ las claves de encriptación que utilizan. Por lo que los emails NO son seguros. Hay que ver lo que pasó en Lavabit, que el propietario se negó y lo querían entalegar, al final tuvo que abandonar la plataforma, que era su medio de vida, para no tener que entregar las claves a esta GENTUZA del Fbi.
      En cuanto a los mensajeros instantáneos los prefiero, porque aunque tengan algún fallo de seguridad van renovándose y solucinándolos, y NUNCA será la misma indefensión que tendrás con un email.
      1saludo.

  • XXX

    Vamos a ver.
    Vamos a ir por partes.

    El cifrado punto a punto se realiza para que nadie pueda ver la conversación mientras ésta se translada del remitente hasta el receptor.
    Por supuesto que la conversación no se cifra en el dominio local del cliente. Se cifra cuando sale de éste.

    Se supone que el dispositivo cliente del servicio Telegram, es un dispositivo confiable.
    Además como no sigue la filosofía de guardar los mensajes en el teléfono, cosa que si hace WhatsApp, si no que solo se transladan al servidor, no hay necesidad de cifrar nada en local.

    Otra cosa es que se tenga un acceso no autorizado al cliente y se investiguen los archivos y operaciones temporales en busca de conversaciones, que es donde se verían los mensajes, en la caché o en la memoria como comentais. Lo normal es eso.

  • Manuel

    Esto me parece absurdo, el cifrado no se ha roto en ningún momento.

  • super_nehme

    Como bien dicen, el cifrado no está roto,.. si alguien es root en un terminal, puede acceder a cualquier tipo de información, ya sea la clave de truecrypt, conversaciones de telegram o lo que sea, unos ejemplos de SSH y OTR para destriparlos en local:

    https://www.busindre.com/espiar_monitorizar_registrar_sesiones_ssh
    https://www.busindre.com/espiar_y_registrar_conversaciones_en_pidgin

    Yo lo he probado con mi OTR y sin problemas,.. todo en texto claro.

  • core

    Sensacionalista.

    Sólo así se puede entender escribir ese titular. El cifrado nunca se ha roto. Accediendo como root, se puede volcar la memoria de cualquier programa.

    Un poco de rigor periodístico por favor.

  • StateX

    Exacto, el cifrado no se ha roto, lo que ha pasado es que han logrado comprometer el dispositivo y hacerse root en el.

    Más información y de calidad:

    http://unaaldia.hispasec.com/2015/02/no-me-han-hackeado-stop.html

  • Periquillo

    Bueno, creo que la noticia es falsa. Los señores del sistema quieren seguir llevando las riendas