Telegram의 클라우드 채팅 버그 수정

플랫폼은 종종 사용자의 주요 이유로 보안을 홍보했습니다. 그러나 Telegram은 Secret Chats라는 기능을 통해 가장 선호되는 종단 간(E2EE) 암호화 앱 중 하나를 제공하지만 암호화되지 않은 일반 클라우드 채팅도 제공합니다. E2EE는 메시지의 발신자 또는 수신자와 해당 메시지를 라우팅하는 클라우드 서버 사이에 자신을 배치하는 MITM(Man-in-the-Middle) 공격으로부터 사용자를 보호합니다. E2EE는 WhatsApp 또는 Telegram과 같은 서비스 제공자라도 사용자가 보낸 메시지를 읽을 수 없도록 하며, 이는 또한 해당 메시지의 내용을 정부, 법 집행 기관 또는 기타 기관에 제공할 수 없음을 의미합니다.

Telegram은 MTProto라는 프로토콜을 사용하여 클라우드 채팅을 보호합니다. 이 프로토콜은 전송 중 데이터를 안전하게 보호하기 위한 인기 있는 암호화 표준인 회사 자체 버전인 TLS(전송 계층 보안)입니다. TLS는 또한 MITM 공격으로부터 어느 정도 보호하지만 Telegram과 같은 회사에서 유지 관리하는 서버가 필요할 때 이러한 스크립트를 읽는 것을 막지는 못합니다.

연구원들에 따르면 텔레그램의 클라우드 채팅은 네트워크 상의 적이 메시지를 재배열할 수 있다는 단점이 있다. 연구원들은 이 취약점이 악용된 예를 알지 못하지만 공격자가 이를 사용하여 Telegram 봇을 조작할 수 있다고 말했습니다.

연구원들은 공격자가 암호화된 메시지에서 일반 텍스트를 추출할 수 있는 Android, iOS 및 데스크톱 버전의 Telegram에서 코드를 발견했습니다. 이러한 공격은 플랫폼과 해당 사용자에게 치명적일 수 있지만 공격자 측에서 상당한 양의 작업이 필요합니다. 이것은 그러한 공격이 국가가 지원하는 해커 그룹과 같은 동기가 높은 공격자에 의해 수행된다는 것을 의미합니다.

플랫폼은 7월 16일 블로그 게시물에서 이것이 두 가지 다른 결함과 함께 Telegram에 의해 모두 수정되었다고 말했습니다. 플랫폼은 “공식 텔레그램 앱의 최신 버전에는 이미 연구원들이 수행한 네 가지 관찰을 더 이상 관련이 없게 만드는 변경 사항이 포함되어 있습니다.”라고 썼습니다.