WhatsApp: Falha de Segurança expõe Grupos

Veja - WhatsApp: Falha de Segurança expõe Grupos

FALHAS WHATSAPP DE SEGURANÇA PODE PERMITIR XERETAS A  PARTICIPAR DE CONVERSAS EM GRUPO



Milhões de pessoas confiam criptografia end-to-end do WhatsApp. Mas os pesquisadores de segurança dizem que uma falha poderia colocar algumas conversas em grupo em risco de infiltração.HOTLITTLEPOTATO
Quando WhatsApp acrescentou criptografia end-to-end para cada conversa para seus usuários bilhão de há dois anos, o gigante de mensagens móveis aumentou significativamente o bar para a privacidade das comunicações digitais no mundo inteiro. Mas um dos elementos difíceis de criptografia e ainda mais complicado em um chat em grupo de definição de sempre foi assegurar que uma conversação segura atinge apenas o público-alvo, em vez de algum impostor ou infiltrado. E, de acordo com uma nova pesquisa de uma equipe de criptógrafos alemães, falhas no WhatsApp fazer infiltrando chats em grupo do aplicativo muito mais fácil do que deveria ser possível.

Na conferência de segurança Real World Crypto quarta-feira em Zurique, Suíça, um grupo de pesquisadores da Universidade Bochum Ruhr na Alemanha pretende descrever uma série de falhas em aplicativos de mensagens criptografadas, incluindo WhatsApp, Signal, e Threema. A equipe argumenta suas descobertas minar reivindicações de segurança de cada aplicativo para várias pessoas do grupo conversas em diferentes graus.

Mas, enquanto as falhas de sinal e Threema que encontraram eram relativamente inofensivas, os pesquisadores desenterraram lacunas muito mais significativos na segurança do WhatsApp: Eles dizem que qualquer um que controla os servidores do WhatsApp poderia facilmente inserir novas pessoas em um grupo de outra forma privada, mesmo sem a permissão do administrador que ostensivamente controla o acesso a essa conversa.

'É apenas uma screwup total. Não há nenhuma desculpa.'

MATTHEW GREEN, JOHNS HOPKINS UNIVERSITY

"A confidencialidade do grupo está quebrado assim que o membro não convidado pode obter todas as mensagens novas e lê-los", diz Paul Rösler, um dos pesquisadores da Universidade de Ruhr, que co-autor de um artigo sobre as vulnerabilidades de mensagens grupo . "Se eu ouvir há criptografia end-to-end para ambos os grupos e comunicações de dois partidos, que significa a adição de novos membros devem ser protegidos contra. E se não, o valor de criptografia é muito pouco."

Que qualquer um que seja intruso teria que controlar o servidor WhatsApp limita o método de espionagem para hackers sofisticados que possam comprometer esses servidores, funcionários WhatsApp, ou governos que legalmente coagir WhatsApp dar-lhes acesso. Mas a premissa da chamada criptografia end-to-end sempre foi que mesmo um servidor comprometido não deve expor segredos. Somente as pessoas em uma conversa deve ser capaz de ler mensagens do WhatsApp, não os próprios servidores.

"Se você construir um sistema onde tudo se resume a confiar no servidor, assim como você pode dispensar com toda a complexidade e esquecer criptografia end-to-end", diz Matthew Green, professor de criptografia na Johns Hopkins University, que analisou o Ruhr trabalho pesquisadores universitários. "É apenas uma screwup total. Não há nenhuma desculpa."

Ameaça grupo
Os pesquisadores alemães dizem que seu ataque WhatsApp se aproveita de um bug simples. Apenas um administrador de um grupo WhatsApp pode convidar novos membros, mas o WhatsApp não utilizar qualquer mecanismo de autenticação para que o convite que seus próprios servidores não pode falsificar. Assim, o servidor pode simplesmente adicionar um novo membro a um grupo sem interação por parte do administrador, eo telefone de cada participante do grupo, em seguida, compartilha automaticamente as chaves secretas com esse novo membro, dando-lhe acesso completo a qualquer futuro mensagens. (Mensagens enviadas antes de um convite ilícito, felizmente, ainda não pode ser descriptografado.)

Todos no grupo iria ver uma mensagem que um novo membro se juntou, aparentemente, a convite do administrador do inconsciente. Se o administrador está acompanhando de perto, ele ou ela poderia alertar os membros pretendidos do grupo sobre o intruso e a mensagem de convite falsificado.


Mas os pesquisadores da Universidade de Ruhr e ponto verde Johns Hopkins' out vários truques que poderiam ser usados ​​para atrasar a detecção. Uma vez que um atacante com o controle do servidor WhatsApp teve acesso à conversa, ele ou ela também poderia usar o servidor para bloquear seletivamente quaisquer mensagens no grupo, incluindo aqueles que fazem perguntas, ou fornecer avisos sobre o novo operador.

"Ele pode armazenar em cache toda a mensagem e, em seguida, decidir quais são enviados para quem e que não", diz Rösler. E em grupos com vários administradores, o servidor sequestrado pode falsificar mensagens diferentes para cada administrador, fazendo parecer que um outro havia convidado o intruso, de modo que ninguém levanta um alarme. Ele poderia até mesmo impedir a tentativa de qualquer administrador para remover o espião do grupo se descoberto.

alguns limites
Em um telefonema com WIRED, um porta-voz WhatsApp confirmou as descobertas dos pesquisadores, mas enfatizou que ninguém pode secretamente adicionar um novo membro a um grupo-a notificação não passar por isso um novo, membro desconhecido entrou para o grupo. O funcionário acrescentou que se um administrador vê uma nova adição de peixe a um grupo, eles podem sempre dizer outros usuários através de outro grupo, ou em mensagens de um-para-um. E o porta-voz WhatsApp também observou que a prevenção ataque os pesquisadores da Universidade de Ruhr provavelmente quebrar um recurso WhatsApp popular conhecido como um 'grupo de convidar link' que permite a qualquer pessoa participar de um grupo simplesmente clicando em um URL.

“Nós olhamos esta questão com cuidado 'escreveu um porta-voz WhatsApp em um email.' Os membros existentes são notificados quando novas pessoas são adicionados a um grupo WhatsApp. Nós construímos WhatsApp para que as mensagens de grupo não podem ser enviadas para um usuário oculto. A privacidade ea segurança dos nossos usuários é incrivelmente importante para WhatsApp. É por isso que nós coletamos muito pouca informação e todas as mensagens enviadas em WhatsApp são end-to-end criptografado.”

Para ser justo, esta técnica não seria uma estratégia muito furtiva, a longo prazo para a espionagem do governo. Cedo ou tarde, os usuários provavelmente perceber que estranhos inesperados foram aparecendo em seus bate-papos. Mas essa possibilidade de detecção não é uma solução adequada para o problema subjacente do WhatsApp, argumenta John Hopkins' Green. "É como deixar a porta da frente de um banco desbloqueado e, em seguida, dizendo que ninguém vai roubá-lo porque há uma câmera de segurança", diz Green. "É estúpido."

Os pesquisadores da Universidade de Ruhr dizem que alertados WhatsApp para o problema com segurança de mensagens do grupo em julho passado. Em resposta ao seu relatório, a equipe do WhatsApp dizem que fixa um problema com uma característica de sua criptografia que tornou mais difícil para quebrar mensagens futuras mesmo depois de uma chave de um descriptografia atacante obtida. Mas eles disseram aos pesquisadores do bug convite grupo que tinha encontrado era apenas "teórica" ​​e nem sequer qualificar-se para o chamado programa de recompensas bug executado pelo Facebook, sociedade proprietária do WhatsApp, em que pesquisadores de segurança são pagos para relatar falhas hackable no software da empresa.

"Se eu ouvir há criptografia end-to-end para ambos os grupos e comunicações de dois partidos, que significa a adição de novos membros devem ser protegidos contra.

PAUL ROESLER, UNIVERSIDADE RUHR

Para alguns dos usuários de WhatsApp, os riscos de segurança do aplicativo pode ser elevado. Sistema de mensagens grupo conveniente do WhatsApp, em combinação com as suas promessas de criptografia, tornaram-se uma ferramenta popular para "redes sussurro" de organizações populares temas em torno sensíveis ou perigosos. Vítimas de abuso e assédio sexual têm -lo usado para organizar a campanha contra os abusadores , por exemplo. Então, tem insiders políticos e apuros Capacetes Brancos da Síria, brigadas de resgate voluntário na Síria que muitas vezes são visados pelo regime no poder.

Mas a segurança de má qualidade em torno de conversas em grupo do WhatsApp deve fazer seus usuários mais sensíveis Desconfie de intrusos, Rösler argumenta. Se WhatsApp eram para cumprir um governo request-nos EUA ou no exterior, agentes poderiam aderir a qualquer grupo privado e ouvir junto.

Problemas menores
Os pesquisadores desenterraram falhas menos graves nos mais especializados aplicativos de mensagens seguro de sinal e Threema também. Eles advertem que Signal permite que o mesmo ataque chat em grupo como WhatsApp, deixando bisbilhoteiros indesejados participar de grupos. Mas no caso de sinal, que intruso teria de não apenas controlar o servidor de sinal, mas também sabe que um número virtualmente unguessable chamado de ID do grupo. Que, essencialmente, bloqueia o ataque, a menos que o ID de grupo pode ser obtida a partir de um dos telefones-no membro do grupo caso em que o grupo está provavelmente já comprometidos. Os pesquisadores dizem que Abertas Sussurro Systems, sem fins lucrativos que executa e mantém Signal, no entanto, respondeu ao seu trabalho, dizendo que ele está atualmente redesenhar como sinal lida com mensagens de grupo.

Para Threema, os pesquisadores descobriram erros ainda menores: Um invasor que controla o servidor pode reproduzir mensagens ou adicionar usuários de volta para um grupo que foram removidos. Os pesquisadores dizem Threema respondeu a suas descobertas com uma correção em uma versão anterior de seu software.

Quanto WhatsApp, escrevem os pesquisadores que a empresa poderia fixar a sua mais flagrante falha grupo de chat através da adição de um mecanismo de autenticação para novos convites de grupo. Usando uma chave secreta apenas o administrador possui a assinar esses convites poderia deixar o administrador provar a sua identidade e evitar os convites falsificados, bloqueio de visitantes indesejados. WhatsApp ainda tem de ter os seus conselhos.

Até que o façam, os usuários mais sensíveis do WhatsApp deve considerar furar com um-para-um conversas, ou a mudança para um aplicativo de mensagens de grupo mais seguro como sinal. Caso contrário, eles seria sábio para manter um olho vigilante para quaisquer novos operadores de correr em suas conversas privadas. Até que um administrador atesta ativamente para esse recém-chegado, há uma pequena chance de que ele ou ela só poderia ser outra coisa que não um novo amigo.

Atualizado 10:00 pm EST com mais informações que WhatsApp.

Postagens mais visitadas deste blog

Mensagens para dia da Mulher - 8 de março