В отчете компании Virgil Security, поставщика криптографических услуг, сказано, что функция Telegram Passport обеспечивает недостаточный уровень безопасности из-за слабой криптографической защиты и отсутствия цифровой подписи.
Telegram-паспорт — это нововведение мессенджера, позволяющее пользователям загружать в облако документы, удостоверяющие личность. Эти данные зашифровываются, что позволяет подтверждать личность на сторонних сервисах без раскрытия приватной информации третьим лицам. Однако эксперты Virgil Security считают, что новая функция практически не защищена.
Основной проблемой является использование алгоритма хеширования SHA-512, который на сегодня является устаревшим и слабым. По словам экспертов, в 2018 году один топовый графический процессор может ежесекундно генерировать до 1,5 млрд хешей для SHA-512. Поэтому на подбор пароля от аккаунта хакер может потратить больше времени, чем на взлом криптографической защиты. В Virgil Security считают, что намного эффективнее работает система добавления в пароль случайных чисел.
Telegram также утверждает, что шифрует приватные данные пользователей и перемещает их в облако. Для подтверждения личности на стороннем сервисе данные дешифруются, а после идентификации снова кодируются. При этом информация не является случайной и повторно используется алгоритм SHA. К тому же не предусмотрена возможность цифровой подписи, что позволяет изменять приватные данные без участия владельца или получателя информации.
Virgil Security говорят, что такие лазейки в системе безопасности делают всю систему уязвимой. Telegram учел замечания экспертов и сейчас работает над совершенствованием функции паспорта.
Другой популярный мессенджер, WhatsApp, также регулярно добавляет новые возможности. Недавно появилась функция коммерческих сообщений для бизнеса.