Incremente sua infra-estrutura
Celular serviço de mensagens WhatsApp veio para a crítica sobre a robustez da sua criptografia, na semana passada, após uma correção para um Confuso segurança janeiro foi acusada de não ser suficientemente robusto.
De volta ao início do ano WhatsApp foi investigado no Canadá e na Holanda para manter indefinidamente os dados do catálogo de endereços de e-mail dos usuários que snaffled quando se juntou ao serviço.
Ele também foi criticado por geração de chaves criptográficas de dados, tais como IMEI do telemóvel (International Mobile Equipment Identity), número ou sua rede de endereços MAC (código de acesso de mídia).
O número IMEI é programado em um telefone celular durante o processo de fabricação. Sob certas circunstâncias, podem ser transmitidas em mensagens de texto claros de um telefone. Eles são uma péssima escolha de senhas, porque cada pacote de rede tem o endereço MAC dentro dele.
WhatsApp revisou sua criptografia, na sequência dessas críticas. No entanto, uma revisão da correção pela matemática e ciência da computação holandês Thijs Alkemade estudante revelou que a abordagem do WhatsApp, enquanto melhorado, continua a ser profundamente falho .
WhatsApp gera uma chave de sessão que ele usa para inicializar uma cifra de fluxo. Mas a mesma cifra de fluxo é utilizado para mensagens tanto de entrada e saída.
Este é um erro de criptografia semelhante ao uso de um bloco de uma só vez mais de uma vez, o que gera graves deficiências de segurança no sistema, como o pesquisador de segurança Sophos Paul Ducklin explica:
"A cifra de fluxo funciona como um gerador de números pseudo-aleatórios, emitindo uma seqüência imprevisível de bytes que você XOR com o texto simples para criptografar", Ducklin escreve no blog de segurança Sophos Nu ' . "Em outras palavras, você não deve usar a mesma seqüência de bytes para criptografar qualquer outra coisa, porque isso iria torná-lo previsível, e que é um desastre de criptografia."
"A cifra de fluxo funciona como um pseudo um bloco de tempo de um sistema de criptografia que se baseia em uma série de números aleatórios de hardware para criar uma cifra inquebrável se -., E somente se - o bloco é usado apenas uma vez", acrescentou.
Além disso, o WhatsApp usa a criptografia RC4 cifra falho ao invés de alternativas mais robustas.
O resultado é que, como as coisas estão no momento da escrita, alguém capaz de escutar a sua ligação WhatsApp também seria capaz de decifrar mensagens com dificuldade mínima.
Ducklin aconselha os usuários WhatsApp só para usar o serviço de mensagens que eles estão felizes de ser considerado público, até que um esquema de criptografia mais forte é introduzido.
Alkemade, o pesquisador holandês que criou um burburinho na comunidade de segurança, divulgando as falhas na semana passada, sugere que o WhatsApp deve usar Transaction Layer Security, ou TLS - a mesma criptografia end-to-end utilizado por sites seguros.
Michael Sutton, diretor de pesquisa de segurança da Zscaler, criticou WhatsApp para erros criptográficos básicos.
"WhatsApp cometeu um erro muito básico na implementação de sua criptografia de mensagens, aproveitando a mesma chave de criptografia para mensagens de entrada e saída", disse Sutton. "Enquanto compromisso da falha não é simples, é perfeitamente possível e, como tal comunicação, WhatsApp não pode ser considerada segura até que esta questão é abordada. Ainda não está claro se a falha de implementação é uniforme em todas as implementações WhatsApp mas por agora, tudo implementações deve ser considerado inseguro. "
The Register encaminhado essas críticas para WhatsApp na semana passada, convidando-o para comentar. Estamos ainda para ouvir de volta. Assim, não está claro se ou não WhatsApp reconhece que há um problema, muito menos como e quando se pode oferecer uma solução.
Um bem-sucedido ataque de engenharia social na semana passada contra o nome de domínio empresa Network Solutions , usado por WhatsApp, significava que o aplicativo de mensagens foi um de uma série de empresas a sofrer um ataque de DNS seqüestrar, por sua vez. Surfers tentar visitar seu local foram redirecionados para um site de propaganda pró-palestino em seu lugar.
Enquanto esse problema específico foi resolvido em poucas horas na terça-feira, o problema de criptografia pode demorar um esforço muito maior para resolver. ®
Nenhum comentário:
Postar um comentário