Разработчики Telegram закрыли четыре уязвимости

Четыре уязвимости в протоколе шифрования MTProto 2.0 устранили разработчики Telegram, 16 июля сообщается в блоге компании.

Группа исследователей из Лондонского университета и ETH Zurich провела формальный анализ протокола Telegram MTProto и выявила ряд слабых мест в нем.

Первая уязвимость позволяла изменять порядок передачи сообщений. Вторая уязвимость представляет скорее академический, чем практический интерес. Она позволяла злоумышленнику определить, кем зашифровано сообщение — клиентом или сервером.

Третья уязвимость присутствовала в некоторых клиентах Telegram, и на практике была нереализуема — для ее эксплуатации требовалась отправка миллиона сообщений и замер времени ответа на них.

Четвертая позволяла использовать атаку «человек посередине» на этапе согласования ключей между клиентом и сервером, однако для ее реализации требовалась отправка миллиарда сообщений в течение нескольких минут на сервер Telegram.