Crowdsourcing a More Secure Future

UPD: See this page for the latest details about the Telegram Bug Bounty Program.

A few days ago we launched a contest to improve Telegram's security and are delighted to already have the first results. A Russian IT-community user identified a potentially vulnerable spot in our secret chat implementation. While this would not help him decipher the traffic and win the contest, his achievement deserves a notice — and a big prize.

The habrahabr user x7mz had discovered that in case the Telegram server could be seized by a malicious third party, it could send different nonce numbers to each of the clients participating in a secret chat.

These nonce numbers were introduced to add more randomness to the secret chat keys, mostly because of possible undiscovered vulnerabilities of the random generators on mobile devices (for example, one such vulnerability was found this August in android phones).

As was pointed out, this solution would have also made it possible for the visual representations of the shared secret key to be identical in case of a man-in-the-middle attack — provided such attack was done by the seized server. Obviously, the server has been under Telegram's control all this time, so this theoretical threat never had a chance to come to life.

The developer who found the potential weakness has earned a reward of $100,000. We have contacted him to find out how he would like to collect his prize.

A similar reward awaits anyone who finds viable ways of compromising MTProto’s security (and there is an outstanding reward of $200,000 for deciphering Telegram traffic). All submissions to [email protected] which result in a change of code or configuration are eligible for bounties, ranging from $500 to $100,000 or more, depending on the severity of the issue.

This story showcases the importance of keeping the protocol specification and source code open — this way thousands of bright minds from all over the world can help us find potential vulnerabilities and improve the protocol.

Let’s keep on looking for any weak spots. Together we can make Telegram unbreakable.

December 21, 2013
The Telegram Team

다른 뉴스

제휴 프로그램, AI 기반 스티커 검색, 콜라주 등

오늘, 우리는 텔레그램의 콘텐츠 제작자와 미니 앱 개발자를 위한 흥미로운 소식을 전합니다. 제작자는 이제 자신의 노력을 수익화하고 별을 얻을 수 있는 간단한 방법을 가지게 되었으며, 미니 앱 개발자는 새로운 사용자를 유치할 수 있는 강력한 도구를 얻게 됩니다. 또한, 텔레그램 사용자는 이제 AI를 사용하여 스티커를 찾고…
12월 4, 2024

미니 앱 2.0: 전체 화면 모드, 홈 화면 아이콘, 지리적 위치 및 10가지 추가 기능

오늘 우리는 미니 앱 역사상 가장 큰 업데이트를 출시합니다. 미니 앱은 전체 화면 모드, 구독 계획, 홈 화면 바로가기, 선물 보내기, 미디어 공유, 문서 작성, 위치 정보 접근, 모션 트래커, 이모지 상태 설정 등을 지원합니다.
11월 17, 2024

개선된 비디오 및 그 외 다수

오늘 업데이트에서는 영상의 더 빠른 로딩, 더 나은 품질 및 새로운 속도 제어 기능, 마지막 편집 타임스탬프, 보낸 메시지에 미디어 첨부, 미니 앱의 증가된 제한, 개발자를 위한 새로운 수익화 옵션 등 다양한 기능이 추가되었습니다.
10월 31, 2024

선물, 검증 플랫폼 및 기타

사용자들은 이제 친구들에게 선물을 보낼 수 있습니다: 선물의 수신자는 자신의 프로필 페이지에 선물을 표시하거나 별로 전환할 수 있습니다. 추가로, 텔레그램은 기업들이 고객의 전화번호를 인증할 수 있는 플랫폼을 출시했습니다: 이 새로운 인증 플랫폼은 사용자가 텔레그램을 통해 코드를 받아 전화번호를 쉽게 확인할 수 있게 하며…
10월 5, 2024