[HostHum.com] 7 月 21 日消息,伦敦大学皇家霍洛威学院的研究人员发现了流行的加密通讯应用 Telegram 使用的 MTProto 协议中的几个漏洞。
虽然在一对一聊天中可以选择使用端到端加密 (E2EE),但用于群聊或者用户不选择使用 E2EE 时会默认使用 MTProto 协议。MTProto 是 Telegram 官方开发的代理协议,只能由Telegram 程序使用,用于保护传输中的数据并保护用户免受中间人攻击。
皇家霍洛威学院的研究人员发现的一个安全漏洞允许网络上的攻击者将来自客户端的消息重新排序到 Telegram 的服务器。虽然这个缺陷并不是特别危险,但执行起来很简单。
研究人员还深入研究了 Telegram 的 Android、iOS 和桌面客户端,他们发现了可用于恢复一些明文加密消息的代码。然而,如果要利用这个缺陷进行攻击,攻击者需要向潜在目标发送数百万条精心设计的消息,这几乎是不可能的。
皇家霍洛威学院的研究人员在 Telegram 的 MTProto 协议及其客户端中总共发现了四个漏洞,并于 4 月向该 Telegram 的开发团队报告了这些漏洞。从那以后,Telegram 更新了其客户端应用程序,现在没有任何漏洞对用户构成风险。
在一篇 7 月 16 日发表的博客文章中,Telegram 提供了更多详细信息以及为修补漏洞所做的更改,并说:
“最新版本的 Telegram 应用程序已经包含研究人员所发现的四个漏洞补丁。总的来说,这些并不是严重的漏洞,没有任何变化是关键的,因为没有发现破译或篡改消息的方法。”
