Rocket Kitten Hackers Sett 15 millioner telegrambrukere i fare

En kryptert meldingstjeneste som brukes av 100 millioner mennesker, er blitt kompromittert.

Forskere hevder at en hackinggruppe kalt Rocket Kitten har lært telefonnumrene til 15 millioner telegrambrukere, og har i noen tilfeller brukt tjenestens tillit til tekstmeldinger for å få full tilgang til de "sikre" kontoene.

Dette er første gang en systematisk de-anonymisering og klassifisering av personer som bruker krypteringsverktøy (av en eller annen type) for en hel nasjon "har blitt avslørt, Amnesty International-teknologen Claudio Guarnieri, som oppdaget hacken med uavhengig forsker Collin Anderson, fortalt Reuters.

Hvordan det virket:

Hakken sies å ha jobbet ved å fange opp tekstmeldinger som de var i transitt og deretter bruke dem til å legge til en hackerstyrt enhet på kontoen. Dette ville tillate hackeren å lese den krypterte kommunikasjonen som ellers ville vært nesten umulig for dem å kompromittere med brute force.

Mer enn bare ISIS:

I tillegg til å være et foretrukket kommunikasjonsverktøy av ISIS, er Telegram også populært blant aktivister, journalister og 20 millioner andre mennesker som vil unnslippe den iranske regjeringens overvåkingsprogrammer.

Den samme teknikken som WhatsApp:

Telegram er ikke den eneste appen som bruker SMS for godkjenning. Signal, en populær kryptert kommunikasjonsapp, bruker også tekstmeldinger for å verifisere kontoer. Det gjør også Facebooks WhatsApp-meldingsverktøy.

Det ville være trivielt for etterretningsorganer å fange opp disse meldingene for å få tilgang til ellers sikre verktøy, takket være tidligere hack som tillater NSA og Storbritannias GCHQ å hemmelig dekryptere telefonsamtaler og tekstmeldinger fra mange eiere.

Mange tjenester, fra Amazon til Twitter, bruker tekstmeldinger for å hjelpe folk med å sikre sine kontoer. Forskjellen er at disse tjenestene bruker tekstmeldinger som en andre autentiseringsfaktor brukt i forbindelse med et brukernavn og passord, ikke en primær innloggingsmekanisme. Dette er sikrere enn et enkeltfaktorsystem.

Telegram tillater brukerne å sette passord på sine kontoer, men krever ikke at de skal gjøre det. Alle som trenger tilgang til de fleste kontoer, er kjent med telefonnummeret som Rocket Kitten har, og muligheten til å fange SMS, noe som kan gjøres enklere av hackinggruppens bånd til Irans regjering.

Noen verktøy kan unngå dette problemet. Når end-to-end kryptering ruller ut for Facebook Messenger, vil den for eksempel bare sende krypterte meldinger til en enhet i stedet for å gjøre dem tilgjengelige på flere plattformer.

Men den begrensningen gjelder ikke for alle krypterte kommunikasjonsverktøy. Selv om det fortsatt er smart å bruke disse appene, er dette en god påminnelse om at det å være kryptert ikke er det samme som å være helt sikkert.

Guarnieri og Anderson planlegger å diskutere hack mer på Def Con 24 den 4. august.