Descubren un grave fallo de seguridad en Telegram

software

Investigadores del Inteco han descubierto un grave fallo de seguridad en los servidores de Telegram que permitiría a un atacante acceder a toda la información de los usuarios e incluso suplantar la identidad de los mismos ante los servidores de la aplicación de mensajería rival de WhatsApp. Todo esto en medio de los problemas con el servicio secreto ruso que ha motivado la salida de su fundador del país.

Para una aplicación como Telegram, que basa su antagonismo con WhatsApp en la seguridad de sus sistemas, el descubrimiento de un grave problema que pone en jaque los datos de los usuarios es de especial importancia. Cabe decir que, como cualquier software, esto iba a pasar tarde o temprano y como recogen los compañeros de RedesZone, los investigadores que la han destapado hoy no lo han hecho a la ligera y llevan desde el 7 de marzo analizando el problema, que fue presentado a los responsables de Telegram el pasado 11 de marzo.

Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, aunque todo lo relacionado con el servidor trabaja a través de una API y no se ha abierto el código de ello en ningún momento. La vulnerabilidad en cuestión, explican, no está en la aplicación que se instala, sino que está localizada en los mecanismos de autenticación entre cliente y servidor. Este sistema puede ser ingnorado ya que el servidor no verifica la legitimidad de las claves públicas de Telegram, lo que permitiría a un atacante conseguir el control casi completo de la cuenta del usuario, accediendo a sus conversaciones, archivos compartidos y claves, que le permitirían hasta la posibilidad de suplantar la identidad del mismo de cara al servidor.

telegram_auth_mitm_dump

Es evidente que si es un problema que está ya en manos de los creadores de la aplicación estará siendo preparado el correspondiente parche de esta vulnerabilidad pero si Telegram no quiere perder el prestigio y los usuarios ganados en los últimos tiempos frente a WhatsApp y establecerse como una alternativa segura a ésta, deberá hilar mucho más fino con su código.

Momento complicado para Telegram por la huida de Rusia de su fundador

Este fallo, y quzás el motivo del retraso en su reparación, puede estar motivado por los problemas que hay en la empresa tras el exilio de Pavel Durov, quien el pasado jueves explicaba que se negó a entregar al Servicio Federal Ruso (FBS) información personal de los organizadores del grupo Euromaidan, uno de los responsables de la protesta pro-europea en Ucrania.

Esto ha provocado que Durov, quien también fue fundador de VKontakte, rival de Facebook en Rusia con más de 100 millones de usuarios, se haya marchado de su país y, en las últimas horas, se ha informado que pasaba a ser ciudadano de St. Kitts and Nevis a cambio de una donación al país de 250.000 dólares a la industria azucarera del país.

Mientras la red social Vkontakte ha pasado a estar controlada por su CEO Igor Sechin, al que se le relaciona estrechamente con el Kremlin, y por el accionista ruso Alisher Usmanov, no hay noticias de cómo queda la situación para Telegram.

¿Qué opináis de la situación de Telegram? ¿Es posible seguir confiando en su seguridad? O lo que es más ¿es posible pensar que alguna aplicación de mensajería puede ser totalmente segura? Dejadnos vuestra opinión en los comentarios así como también os invitamos a participar en los foros de MovilZona.

 

Fuentes: Seclists – Inteco – PDF Inteco

Escrito por David G. Bolaños (@d_gomez_b)

Continúa leyendo

Comentarios

1 comentario
  1. jorge 01 May, 14 23:45

    desde luego que no hay ninguna aplicación de mensajeria que sea totalmente segura, y de hecho todo lo que este conectado via internet no es para nada seguro por que siempre abra algún hacker que sea capaz de destaparla a si que si se quiere maxima segurida no usar internet a si de facil.

    0