Inicio / Guías y Estudios / Estudios / Telegram: Sorteando el protocolo de autenticación

Telegram: Sorteando el protocolo de autenticación

Publicado el 28/04/2014
Telegram: Sorteando el protocolo de autenticación
INCIBE publica un análisis del protocolo de autenticación y autorización de la aplicación de mensajería instantánea Telegram. En este estudio, con Prueba de Concepto incluida, se informa de un problema de diseño que puede permitir a atacantes sortear la autenticación del sistema y obtener un control casi completo de la cuenta de sus víctimas.

Telegram, la reciente incorporación al mercado de la mensajería instantánea, destaca frente a sus competidores por la combinación de una sencilla experiencia de usuario con un alto nivel de seguridad. Sus protocolos, desarrollo propio, han sido diseñados con este último aspecto en mente desde el principio. Además, estos protocolos son libres y la API para interactuar con sus servidores es abierta, de la misma forma que el código de su cliente oficial.

Esto facilita enormemente el desarrollo de aplicaciones de terceros, además de fomentarlo. De hecho, aparte de la aplicación oficial, disponible para Android e iOS, existen al menos 6 aplicaciones no oficiales distintas, para diversos dispositivos y entornos: Linux, Windows, Mac, en fase beta, y otras siete en fase pre-alpha.

No obstante, en el presente estudio se verá que esto tiene importantes implicaciones en lo que se refiere al diseño del sistema. En concreto, un atacante que consiga que sus víctimas instalen clientes no oficiales levemente manipulados, pero con un comportamiento totalmente legítimo (en apariencia), puede sortear la autenticación de Telegram y ganar un control casi absoluto de la cuenta de sus víctimas.