sin duda ninguna app de mensajería es segura..

Amigos me imagino que en algún momento nos informarán sobre esta noticia de telegram que ya se está asiendo viral acaba de ver esta información sobre telegram que les parece.... Según telegram ofreció una suculenta recompensa de 300.000 dólares a quien consiguiera hackear su encriptación. Muchos usuarios al ver la elevada cifra, dieron por hecho que era imposible hackearlo por ser (supuestamente) el servicio de mensajería más seguro. Pero hubo un usuario en concreto que decisión lanzarse a por el premio, y esto es lo que ocurrió.

Zuk Avraham es un conocido hacker que se ha atrevido con uno de los retos más difíciles según rumoreaban muchas fuentes: hackear Telegram. Ayer mismo publicaba un artículo en Zimperium bajo el nombre de "Cómo hackeé la encriptación de Telegram", por lo que al ver esto muchos usuarios se quedaron impresionados, ya que era un reto "imposible" pero lamentablemente todo salió mal.

Zuk ha logrado hackear la encriptación de Telegram mediante un exploit. Mientras intercambiaba mensajes con un usuario, en la terminal se podían leer las cadenas de caracteres de lo que se estaba enviando en la conversación. Pero esto no era todo, ya que en el propio folder de Telegram encontró archivos como chache4.db que almacenaban también todo lo que hablábamos.

Imagen - Telegram con problemas de seguridad: hackean su encriptación
Lo encontrado por Zuk es realmente grave, porque cualquiera puede acceder a nuestros mensajes en solo un par de pasos. Pero el problema fue a la hora de "cobrar la recompensa" ya que tras informar en numerosas ocasiones de la vulnerabilidad a Telegram, éstos ni siquiera le respondieron. Esperó un mes, teniendo en cuenta los 30 days zero-day policy y tras cumplirse y no obtener respuesta, hizo la vulnerabilidad pública para todos. Así fue el proceso:

1. 17/1/2015 – Vulnerabilidad encontrada
2. 18/1/2015 – Vulnerabilidad responsablemente divulgada ZVD-2015-0100, ZVD-2015-0101, ZVD-2015-0102 acorde con los 30 days zero-day policy - no hay respuesta
3. 23/1/2015 – Otro intento – no hay respuesta
4. 3/2/2015 – Otro intento – no hay respuesta
5. 6/2/2015 – Otro intento – no hay respuesta
6. 23/2/2015 – Vulnerabilidad hecha pública

¿Por qué Telegram propone un concurso de seguridad en el que ofrece una recompensa y luego no quiere pagar? Esto deja a la compañía realmente mal. ¿Qué opináis?

Kevin García

Gansg

Amigos me imagino que en algún momento nos informarán sobre esta noticia de telegram que ya se está asiendo viral acaba de ver esta información sobre telegram que les parece.... Según telegram ofreció una suculenta recompensa de 300.000 dólares a quien consiguiera hackear su encriptación. Muchos usuarios al ver la elevada cifra, dieron por hecho que era imposible hackearlo por ser (supuestamente) el servicio de mensajería más seguro. Pero hubo un usuario en concreto que decisión lanzarse a por el premio, y esto es lo que ocurrió.

Zuk Avraham es un conocido hacker que se ha atrevido con uno de los retos más difíciles según rumoreaban muchas fuentes: hackear Telegram. Ayer mismo publicaba un artículo en Zimperium bajo el nombre de "Cómo hackeé la encriptación de Telegram", por lo que al ver esto muchos usuarios se quedaron impresionados, ya que era un reto "imposible" pero lamentablemente todo salió mal.

Zuk ha logrado hackear la encriptación de Telegram mediante un exploit. Mientras intercambiaba mensajes con un usuario, en la terminal se podían leer las cadenas de caracteres de lo que se estaba enviando en la conversación. Pero esto no era todo, ya que en el propio folder de Telegram encontró archivos como chache4.db que almacenaban también todo lo que hablábamos.

Imagen - Telegram con problemas de seguridad: hackean su encriptación
Lo encontrado por Zuk es realmente grave, porque cualquiera puede acceder a nuestros mensajes en solo un par de pasos. Pero el problema fue a la hora de "cobrar la recompensa" ya que tras informar en numerosas ocasiones de la vulnerabilidad a Telegram, éstos ni siquiera le respondieron. Esperó un mes, teniendo en cuenta los 30 days zero-day policy y tras cumplirse y no obtener respuesta, hizo la vulnerabilidad pública para todos. Así fue el proceso:

1. 17/1/2015 – Vulnerabilidad encontrada
2. 18/1/2015 – Vulnerabilidad responsablemente divulgada ZVD-2015-0100, ZVD-2015-0101, ZVD-2015-0102 acorde con los 30 days zero-day policy - no hay respuesta
3. 23/1/2015 – Otro intento – no hay respuesta
4. 3/2/2015 – Otro intento – no hay respuesta
5. 6/2/2015 – Otro intento – no hay respuesta
6. 23/2/2015 – Vulnerabilidad hecha pública

¿Por qué Telegram propone un concurso de seguridad en el que ofrece una recompensa y luego no quiere pagar? Esto deja a la compañía realmente mal. ¿Qué opináis?

Yo también lei la noticia y según tengo entendido es necesario acceso root en el dispositivo para poder "hackear" a telegram ya que el famoso hacker se basa en el mismo procedimiento que utiliza la app de towelroot para rootear.

puedes encontrar mas info en móvilzona.es

Sinceramente algo que pareciera tan sencillo pero ese famoso hacker es un genio que nivel...

— modificado el 26 feb. 2015 21:27:18

Tendré que probarlas. Gracias amigos

Raul R.

Hola! ya lei la noticia en zimperium y tengo que mencionar lo obvio en la falla del hack:

El hacker (Zuk Avraham) no pudo leer los mensajes de conversación mediante la lectura de los paquetes enviados via la net, en su lugar tuvo que hackear un telefono con android mediante ROOT, osea que despues de tener el acceso completo al telefono, entro al administrador de archivos y despues a la carpeta en donde se encuentran los datos de la app del telegram para finalmente abrir el archivo del cache de la conversación y ahora si leer la conversación.
Es obvio que al hacer esto es como si estuvieras enfrente de tu telefono desbloqueado con root, asi podras hackear cualquier app x'D

Telegram no le daria nada de premio porque no hackeo la comunicación ya encriptada (los paquetes codificados y enviados via internet) que es el punto principal del Telegram, me explico:

Supongamos que desean tener una conversacion privada con alguna persona que este del otro lado del mundo, si por ejemplo usan whatsapp o line veran que los paquetes que salen de su dispositivo no estaran cifrados y en el mejor de los casos solo tendran un encriptado sencillo, cualquier persona que se encuentre dentro de la ruta por donde pasen sus paquetes podra leerlos.
Telegram envia los paquetes de la conversacion con un cifrado realmente complejo para evitar que personas ajenas que se encuentre en la ruta puedan leer el contenido de dichos paquetes, hasta el momento nadie a podido leer los paquetes enviados (ni siquiera el fundador de zimperium Zuk Avraham) y por eso no hay aun un ganador del premio de los 300,000 dolares.

Si alguno de nosotros tenemos la inquietud de tener una conversacion privada por internet el primer paso a tomar es hacer la conversacion en un dispositivo seguro, es decir sin acceso a ROOT y con un buen firewall, despues podremos elegir el medio para comunicarnos como telegram o algun otro servicio.

No se puede tener una conversacion segura si el dispositivo que usas esta infectado. x'D

Me parece muy bajo que el fundador de zimperium critique a telegram a pesar que no pudo romper su protocolo de comunicacion, el dia que el logre leer los paquetes encriptados podra hacer alarde de lo que quiera pero, ¿hacer alarde de leer archivos de cache en un telefono con ROOT? cualquiera lo puede hacer!

Excelente la información ahora dime eso no afecta en caso a los usuarios que utilicemos telegram y tengamos root