martes, 29 de abril de 2014

Telegram podría no ser tan seguro

tele3

La aplicación de mensajería instantánea, Telegram, podría tener una brecha de seguridad. Según Jesús Díaz, se puede controlar un cliente de manera sencilla. Desde la empresa tan solo recomiendan el uso de clientes oficiales.


El gran beneficiado de la adquisición de Whatsapp por parte de Facebook fue Telegram. La app de mensajería instantánea de origen ruso consiguió 5 millones de nuevos usuarios el día después que se anunciara la compra. A día de hoy cuentan con quince millones de usuarios activos y ocho mil millones de mensajes enviados en marzo. Pero todo podría verse comprometido por su propia filosofía.


Y es que la empresa ha puesto al alcance de todos su API y su código fuente con la idea de que los desarrolladores puedan construir varias apps de la manera más rápida. Y eso, en teoría, es una buena idea ya que permite una rápida expansión sin apenas coste. Pero, ¿qué control hay en unas aplicaciones que no han sido creadas por la empresa y que, por tanto, no son oficiales? En la web de Telegram hay seis clientes no oficiales para android, mac, pc y Linux.


En el día de ayer se publicó en el blog del Instituto Nacional de Tecnologías de la Comunicación un artículo sobre un posible fallo que habría en la aplicación. El experto en seguridad Jesús Díaz ha publicado un estudio en el que describe cómo se podría tomar control del cliente de Telegram de una víctima. Para ello, se haría uso de la técnica conocida como "Man in the middle" (Hombre en el medio) en la que el cliente y servidor creen que se están comunicando de manera segura pero no es así. Gracias a que la empresa ha facilitado su código fuente y su API, se puede construir una aplicación no oficial que envíe los mensajes a un servidor en concreto además de al servidor oficial. De esta manera las comunicaciones entre clientes no oficiales se verían comprometidas.


Jesús Díaz ha creado una prueba de concepto que se puede consultar en el blog de Inteco y además se ha puesto en contacto con la empresa para notificar esta situación. Sin embargo, la única respuesta que ha obtenido es que recomienda que tan sólo se usen los clientes oficiales de la app. Yo puedo controlar la app que use pero no puedo controlar la de otras personas. Y es ahí donde puede haber un problema.




















from ALT1040 http://ift.tt/1lutzol

via IFTTT

No hay comentarios.:

Publicar un comentario