Rocket Kitten Hackers Sæt 15 millioner telegrambrugere i fare

En krypteret messaging app, der anvendes af 100 millioner mennesker, er blevet kompromitteret.

Forskere hævder, at en hackinggruppe kaldet Rocket Kitten har lært telefonnumrene på 15 millioner telegrambrugere og i nogle tilfælde brugt tjenestenes afhængighed af tekstbeskeder for at få total adgang til disse "sikre" konti.

Det er første gang, at en "systematisk de-anonymisering og klassificering af personer, der anvender krypteringsværktøjer (af en eller anden art) for en hel nation", er blevet afsløret, Amnesty International-teknologen Claudio Guarnieri, der opdagede hacket med uafhængig forsker Collin Anderson, fortalte Reuters.

Hvordan det fungerede:

Hacken siges at have arbejdet ved at opfange tekstbeskeder, da de var i transit, og derefter brugte dem til at tilføje en hackerstyret enhed til kontoen. Dette ville give hackeren mulighed for at læse den krypterede kommunikation, som ellers ville have været næsten umulig for dem at kompromittere med brute force.

Mere end bare ISIS:

Ud over at være et foretrukket kommunikationsværktøj til ISIS er Telegram også populær blandt aktivister, journalister og 20 millioner andre mennesker, der ønsker at unddrage sig den iranske regerings overvågningsprogrammer.

Den samme teknik som WhatsApp:

Telegram er ikke den eneste app, der bruger SMS til godkendelse. Signal, en populær krypteret kommunikationsapp, bruger også tekstbeskeder til at bekræfte konti. Det gør også Facebooks WhatsApp-meddelelsesværktøj.

Det ville være trivielt for efterretningsbureauer at opfange disse meddelelser for at få adgang til ellers sikre værktøjer, takket være tidligere hacks, der gør det muligt for NSA og Storbritanniens GCHQ at hemmeligt dekryptere telefonopkald og tekstbeskeder fra mange mobiltelefonejere.

Mange tjenester, fra Amazon til Twitter, bruger tekstbeskeder til at hjælpe folk med at sikre deres konti. Forskellen er, at disse tjenester bruger tekstbeskeder som en anden godkendelsesfaktor, der anvendes sammen med et brugernavn og et kodeord, ikke en primær login-mekanisme. Dette er mere sikkert end et enkeltfaktorsystem.

Telegram giver brugerne mulighed for at indstille adgangskoder på deres konti, men kræver ikke, at de gør det. Alle, der har brug for adgang til de fleste konti, har kendskab til deres telefonnummer, som Rocket Kitten har og evnen til at opfange SMS, hvilket kunne gøres lettere ved hackinggruppens bånd til Irans regering.

Nogle værktøjer kan undgå dette problem. Når end-to-end kryptering ruller ud for Facebook Messenger, vil den f.eks. Kun sende krypterede meddelelser til en enhed i stedet for at gøre dem tilgængelige på flere platforme.

Men denne begrænsning gælder ikke for alle krypterede kommunikationsværktøjer. Selv om det stadig er smart at bruge disse apps, er det en god påmindelse om, at kryptering ikke er det samme som at være helt sikker.

Guarnieri og Anderson planlægger at diskutere hack mere på Def Con 24 den 4. august.