テレグラムの欠陥、セキュアメッセージングアプリがシークレットチャットメッセージを暴露

目次

• テレグラムのクロスプラットフォームメッセージングの欠陥により、ハッカーが暗号化をバイパスし、ユーザーメッセージにアクセスできる - テレグラムのシークレットチャット機能は、メモリダンプにプレーンテキストでメッセージを保存するようです

テレグラムのクロスプラットフォームメッセージングの欠陥により、ハッカーが暗号化をバイパスし、ユーザーメッセージにアクセスできる

テレグラムのシークレットチャット機能は、メモリダンプにプレーンテキストでメッセージを保存するようです

テレグラムは安全ですか？ もう安全ではありません！ 電子フロンティア財団によって最も安全なメッセージングアプリと称賛されたテレグラムのクロスプラットフォームメッセージングアプリは、実際にはそれほど安全ではないことが判明しました。

セキュリティ企業Zimperiumの研究者たちは、サイバー犯罪者がテレグラムを2つの方法でハッキングできることを発見しました。 Zimperiumの創設者兼CTOは、Zimperiumのブログで、テレグラムアプリに関する研究を行った結果、暗号化をバイパスしメッセージを取得するために利用できる方法が少なくとも2つあることがわかったと述べました。

テレグラムには、世界中で約5500万人のアクティブユーザーがいて、2人のユーザー間での1対1のプライベートで安全なチャットのためのシークレットチャット機能があります。 シークレットチャットは、受信者と送信者に暗号化および復号化キーを与えることによって機能し、最も安全です。 EFFは、12月のセキュアメッセージングアプリの監査およびレビューで、テレグラムのシークレットチャット機能に最高のスコアを与えました。

アブラハムによると、テレグラムは、テレグラムアプリがインストールされたターゲットのAndroidスマートフォンを完全に制御する潜在的なハッカーに対して脆弱であり、カーネルエクスプロイトを利用して特権を昇格させることができます。 攻撃者がスマートフォンを制御すると、プロセスメモリをダンプし、デバイスに保存されているファイルにアクセスできます。

Zimperiumの研究者たちは、テレグラムのシークレットチャットメッセージがテレグラムのメモリダンプにプレーンテキストで保存されており、ハッカーにとって簡単にアクセスできることに気付きました。

研究者たちはさらに、シークレットメッセージを保存するテーブルを含むデータベースファイル（Cache4.db）もプレーンテキストであることを発見しました。 テレグラムユーザーは特別な機能を使用してメッセージを削除できますが、削除されたメッセージはプロセスメモリからまだ取得可能であるとアブラハムは述べました。

「テレグラムは、消費者にどこでも無料でプライバシーを提供するという崇高な目標のもとに設立されましたが、モバイルデバイス自体の静止データを保護することに焦点を当てることによって、その目的を達成できていません。 残念なことに、私はテレグラムに何度もアプローチしましたが、まだ返答を受け取っていません」とアブラハムはブログ投稿で説明しました。 「テレグラムのいわゆる強力な暗号化は、SSLを使用する他のページやアプリと同じくらいユーザーを保護していません。 プライバシーと送信するメッセージのプライバシーを確保したい場合は、洗練されたハッカーがメッセージを読むのを防ぐことはないことを認識してください。 デバイスレベルのサイバー攻撃を検出できる追加の保護をモバイルデバイスに追加することを強くお勧めします。」

アブラハムは、テレグラムからの欠陥についての返答がないため、30日間の開示ガイドラインの期限が切れた後に脆弱性を公表したと述べました。 テレグラムはまだこの欠陥についての声明を出していません。