El 4 de noviembre Telegram actualizaba su blog con una suculenta recompensa de 300.000 dólares a quien consiguiera hackear su encriptación. Muchos usuarios al ver la elevada cifra, dieron por hecho que era imposible hackearlo por ser (supuestamente) el servicio de mensajería más seguro. Pero hubo un usuario en concreto que decisión lanzarse a por el premio, y esto es lo que ocurrió.
Zuk Avraham es un conocido hacker que se ha atrevido con uno de los retos más difíciles según rumoreaban muchas fuentes: hackear Telegram. Ayer mismo publicaba un artículo en Zimperium bajo el nombre de "Cómo hackeé la encriptación de Telegram", por lo que al ver esto muchos usuarios se quedaron impresionados, ya que era un reto "imposible" pero lamentablemente todo salió mal.
Zuk ha logrado hackear la encriptación de Telegram mediante un exploit. Mientras intercambiaba mensajes con un usuario, en la terminal se podían leer las cadenas de caracteres de lo que se estaba enviando en la conversación. Pero esto no era todo, ya que en el propio folder de Telegram encontró archivos como chache4.db que almacenaban también todo lo que hablábamos.
Lo encontrado por Zuk es realmente grave, porque cualquiera puede acceder a nuestros mensajes en solo un par de pasos. Pero el problema fue a la hora de "cobrar la recompensa" ya que tras informar en numerosas ocasiones de la vulnerabilidad a Telegram, éstos ni siquiera le respondieron. Esperó un mes, teniendo en cuenta los 30 days zero-day policy y tras cumplirse y no obtener respuesta, hizo la vulnerabilidad pública para todos. Así fue el proceso:
1. 17/1/2015 – Vulnerabilidad encontrada
2. 18/1/2015 – Vulnerabilidad responsablemente divulgada ZVD-2015-0100, ZVD-2015-0101, ZVD-2015-0102 acorde con los 30 days zero-day policy - no hay respuesta
3. 23/1/2015 – Otro intento – no hay respuesta
4. 3/2/2015 – Otro intento – no hay respuesta
5. 6/2/2015 – Otro intento – no hay respuesta
6. 23/2/2015 – Vulnerabilidad hecha pública
¿Por qué Telegram propone un concurso de seguridad en el que ofrece una recompensa y luego no quiere pagar? Esto deja a la compañía realmente mal. ¿Qué opináis?
- Ver Comentarios