最近這兩天,號稱“最安全”的通訊應(yīng)用Telegram接連爆出漏洞,又是剪貼板信息泄露,又是1500萬伊朗用戶手機號曝光,究竟這兩個漏洞有多危險呢?
漏洞1:粘貼信息泄露
研究員Kirill Firsov發(fā)現(xiàn)了這個漏洞:在OS X版本的Telegram中,復(fù)制粘貼到Telegram上的文本會被記錄到/var/log/system.log(syslog)中。這樣某些私密的聊天記錄就被保存了下來。
Mac系統(tǒng)一般會保存7天的日志,不過攻擊者得要有物理接觸才能訪問到日志。不過在企業(yè)環(huán)境系統(tǒng)下,日志信息會發(fā)送到專門的日志服務(wù)器,這樣就可能會帶來更大的安全隱患。
對此,Telegram創(chuàng)始人Pavel Durov解釋稱,讀取日志的難度很大,而且實際上相比普通的剪切板復(fù)制粘貼安全得多,因為任何應(yīng)用都可以讀取你的剪切板。
不過Pavel Durov說,Telegram還是在漏洞公開后馬上修復(fù)了,所以現(xiàn)在用戶們用的軟件應(yīng)該都沒什么問題了。
漏洞2:1500萬伊朗用戶手機號泄露
就在粘貼信息泄露爆出的第二天,又有伊朗黑客聲稱,他們攻陷了數(shù)十個Telegram賬號,然后泄露了1500萬伊朗用戶手機號。
Telegram在全球有一億用戶,而在伊朗的Telegram用戶大約有2000萬,這主要是因為Telegram提供了端對端的加密,能夠保障用戶密鑰只有用戶擁有,即便是Telegram公司也無法訪問到消息數(shù)據(jù)。而在伊朗這樣的國家,大量的異見人士、新聞記者、甚至普通群眾對通訊安全十分重視,因此它吸引了大量用戶。
1500萬用戶手機號泄露,看起來已經(jīng)把75%的伊朗用戶手機號泄露完了,那這個漏洞嚴不嚴重呢?
Telegram的博客對此作出了解釋:
有人檢查了那些手機號碼有沒有在Telegram進行注冊,然后確認了這1500萬個手機號。結(jié)果黑客只是獲得了那些公開數(shù)據(jù),并沒有進入過那些賬號。
Telegram還說,黑客使用API對手機有沒有注冊Telegram進行了測試,而公司今年會引入一種對API查詢的限制,可以阻止這種大量檢測。
“不過,Telegram是基于手機通訊錄的,任何人還是能夠查到某個手機號有沒有注冊賬號”,Telegram補充說,”各大基于通訊錄的聊天軟件也都是這樣做的(WhatsApp, Messenger等)。”
黑客在報告中所提的另一點是:登錄過程中的驗證短信可能被他人獲取,他們就是使用SS7獲取驗證短信從而登錄了那幾十個賬號。由于伊朗的手機通訊供應(yīng)商都掌握在政府手中,黑客擔(dān)心伊朗政府可能會利用這一點,截取異見人士的驗證短信,進而登錄他們的賬號。
Telegram在博客中表示,截獲驗證短信其實已經(jīng)很難說是新威脅了,公司一直在警告某些國家的用戶小心短信被截取。建議用戶們開啟兩部驗證來防范這種攻擊。
事實上發(fā)送驗證短信是各大通信軟件的通行做法,這在一般人看來好像沒什么問題,但伊朗用戶對于安全的重視程度要比一般人高得多,因此,對于他們來說,這樣的安全措施還是不夠的。