El CNN-CERT ha alertado de los riesgos del uso de la aplicación de mensajería móvil Telegram, a la que considera en el punto de mira de ciberatacantes como herramienta de obtención de datos personales de sus usuarios. Según ha detallado el organismo estatal en un informe, esta 'app' presenta carencias en materia de seguridad, como es el caso del protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat. |
Artículo y vía en #1
Vía: www.20minutos.es/noticia/3144453/0/centro-criptologico-nacional-riesgo
Rel.: www.meneame.net/story/fundador-telegram-asegura-fbi-ofrecio-soborno-in
www.meneame.net/story/estudio-desvela-telegram-cliente-mensajeria-inst
www.meneame.net/story/telegram-de-f-droid
www.meneame.net/story/china-bloquea-acceso-whatsapp-todo-pais
www.meneame.net/story/briar-cliente-mensajeria-cuando-bloqueen-interne
www.meneame.net/story/wechat-confirma-datos-personales-usuarios-van-pa
1.- El Cloud Chat. Una herramienta de copia de seguridad de Telegram a través del cifrado de mensajes presentes en la 'app'. El CNN-CERT ha recomendado desactivar esta opción, "ya que expone datos de forma histórica frente a un compromiso, y no solo durante lo que dure este". "Un atacante podría engañar a un usuario con técnicas de ingeniería social o tener acceso al teléfono de la víctima durante un breve espacio de tiempo para obtener las conversaciones y ficheros".
2.- MTProto. "A pesar de que su cifrado no se ha roto nunca públicamente el escepticismo subyace en el hecho de que haya sido creado por la propia desarrolladora homónima de Telegram. ----- ¿Digamelón?
3.- Otros factores como:
- la obligación de dar a la aplicación el número de teléfono personal como parte del proceso de registro
- la recopilación de metadatos por parte de sus servidores
- la monitorización de usuarios
- la descarga de servicios no oficiales de la 'app'
- o posibles secuestros de cuentas aprovechando fallos de red o a través de SMS o llamadas.
¿Se puede hacer un informe más mierda que este?
S2
“These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the ‘smart’ phones that they run on and collecting audio and message traffic before encryption is applied,”
Vamos que tu "argumento" se aplica exactamente igual a Telegram, que pongan en el titular WhatsApp porque es más conocido no lo hace más o menos grave desde el punto de vista de que la CIA pueda leer tus mensajes.
Simplemente porque me ha pasado repetidas veces que, hablando con mi pareja por chat, y esto es real, cuando estábamos discutiendo, supongo que el AI de Facebook lo detectaba, y de repente se borraban mensajes de manera aleatoria, o al menos, incluso, los más importantes que tenían que ser enviados, por arte de magia se borraban. Comprobado y verificado en los mismos teléfonos móviles.
Qué pasó? Que semanas después me enteré que el Sr. Zuckerberg había estado alterando la tecnología AI para testear las reacciones de la gente y si FB influía en sus relaciones sociales, estado de ánimo y feeling personal. Es decir, manipularon conversaciones y comentarios para hacer tests psicológicos de su propia audiencia.
Así que directamente, todo lo que sea de Zuckerberg, para mi, ES MIERDA. Y es que, no quiero ser una cobaya más de ese maldito cínico.
www.bbc.com/news/technology-29475019
Si fuera tan fácil el CNI que es quien ha difundido la noticia se hubiera callado.Pasa que les debe costar o algo interceptar los distintos canales.
Mientras no se demuestre lo contrario, los análisis moñas e interesados no van a impedir que Telegram se extienda.Quien lo conoce sabe de su gran capacidad donde está todo,desde la última película vídeo,la prensa y revistas,libros de todo tipo...
Telegram,gran desconocido incluso por quien lo usa.
Porque las razones son FUD de primera clase.
¡Dios!
Yo no uso teléfono móvil, pero cualquiera puede hacer una prueba. Pone en marcha una mensajería de esas y te pones a hablar algunas tonterías en broma. Verás que al día siguiente te visitan Los Mormones, o sea, los espías americanos.
Quiero decir, intuyo que no conoces en profundidad el tema ni lo has estudiado. No tiene nada de malo, es sólo una pregunta por intuición.
PD: Ojo, para los que suelen creer que si se ataca a una cosa es para defender a la otra... Con esto no estoy defendiendo a WhatsApp ni diciendo que éste sí sea seguro. Digo que se puede dudar de ambos. Eso sí, robar datos de una cuenta de Telegram es técnicamente mucho más sencillo (porque al quedar almacenados en la nube hay más vías para llegar a ellos).
Obviamente les viene mejor whatsapp.
Pero seguridad/privacidad en términos generales, de no poder tener acceso una tercera persona a las conversaciones o en las propias comunicaciones... No creo que tenga más.
Volviendo a la noticia. Me parece un informe de mierda y te lo argumento.
Crear un “informe” sobre el riesgo de usar una aplicación determinada y centrarte en vectores de ataque como:
- La ingeniería social.
- Que te puedan mirar el móvil físicamente.
- O que haya fallos en la red.
Suena a cachondeo pero si, lo dice el informe. Si en lugar de telegram cambias el nombre de la app o servicio a Messenger, Gmail, Hotmail, Whatsapp, Twitter, Facebook, ... IRC, ... o pon tu el nombre que te de la gana, puedes reciclar esa parte del informe ad infinitum.
Me parece una mierda de informe porque citan otros riesgos como que te bajes clientes de la aplicación no oficiales, o que te pueden "robar" tus datos como el nº de telefono porque al registrarte das el nº de telefono. Ajá. Eso es robo, claro, y yo soy nacho vidal.
Me parece una mierda porque cuando hablan de la propia app y no del sexo de los ángeles, lo hacen sobre el cifrado e2e diciendo que todavía no está roto pero igual la empresa que lo creó si puede leer tus mensajes. Así, como premisa. Estos señores sabrán lo que es una clave privada,no? ¿Y quien la guarda? Solo faltaba que dijeran que Google no sabe que búsquedas haces porque usa https y ya me caigo de la silla.
Y ya que estamos, y como te veo tan ofendido por mi comentario, igual tu tienes info más directa: ¿esta gente ha advertido del uso de servicios tan generalizados como Gmail y ha explicado que la empresa norteamericana lee tus correos (en teoría para mostrarte publicidad )? ¿No es más grave eso que tu novia te coja el móvil y te lea los mensajes de telegram? No se por decir algo. O si tan grave es el riesgo de que te intervengan la red (internet, GSM, 3G) por qué no hacen un informe de todos aquellos servicios en los que haya verificación en dos pasos? Como por ejemplo los bancos. Yo creo que sería más útil para el ciudadano, no? O un informe titulado: Riesgo de uso de Facebook, o de Whatsapp, o de Gmail, o de Twitter, o de Hotmail, o de iCloud. Cualquiera de estos servicios tiene más usuarios en España que Telegram y ofrecen mayores problemas de apropiación de datos personales y privados que la app de mensajeria. Coño! Que en sus condiciones de servicio FB te dice que las fotos que subas son suyas! Por cierto, ¿quien tiene la clave de encriptación privada de iCloud?
En fin. Es curioso que entre tanta morralla sobre vectores de ataque, metan cogido por alfileres lo del e2e. A ver si va ser verdad lo que dicen por aquí y el problema es el cifrado. Si me haces un informe sobre el riesgo de usar la app no bases 14 de los 16 folios en hablarme de que tu tia maricarmen te puede mirar el movil.
Que si, que cuando se audita se tiene que mirar todas esas cosas cosas que dice el informe, pero no me negarás que huele y tiene pinta de estar hecho para lo que está hecho: para hacer nota de prensa con un titular que te repliquen los medios en el que ponga bien claro la palabra riesgo (de usar telegram), o como en este meneo: alerta de los riesgos de la 'app' Telegram frente al robo de información personal
Y ojo, yo soy de la opinión de que todo "cacharro" conectado a una red es vulnerable. Para mi Telegram puede ser tan insegura como mandar un correo electrónico. Pero si vas a atacar a una determinada aplicación porque tienes dificultades para intervenir las comunicaciones por culpa de la encriptación e2e, no me utilices argumentos de mierda para crear un titular.
Por esa regla de tres, mientras sea posible entrar a un sistema este sistema es inseguro y poco aconsejable. Mucho mejor un ordenador sin cuentas de usuario, ahí sí que no entraría nadie.
Telegram, por su parte, está bastante mejor parido desde el principio. En su web te muestran las tecnologías y algoritmos que usan, y lo mejor es que es libre, por lo que hay muchos ojos encima buscando vulnerabilidades. Y de momento no se ha encontrado nada serio, por algo será.