O Messenger classificado como melhor que o Signal está repleto de vulnerabilidades

O Messenger classificado como melhor que o Signal está repleto de vulnerabilidades

Getty Images

Pesquisadores acadêmicos descobriram sérias vulnerabilidades no núcleo do Threema, um mensageiro instantâneo que seu desenvolvedor com sede na Suíça diz fornece um nível de segurança e privacidade que “nenhum outro serviço de chat” pode oferecer. Apesar das reivindicações extraordinariamente fortes e das duas auditorias de segurança independentes que a Threema recebeu, os pesquisadores disseram que as falhas minam completamente as garantias de confidencialidade e autenticação que são a base de qualquer programa vendido como provedor de criptografia de ponta a ponta, normalmente abreviado como E2EE.

Threema tem mais de 10 milhões de usuários, que incluem o governo suíço, o exército suíço, o chanceler alemão Olaf Scholz e outros políticos daquele país. Os desenvolvedores do Threema o anunciam como uma alternativa mais segura ao mensageiro WhatsApp da Meta. Está entre os principais aplicativos Android para uma categoria paga na Suíça, Alemanha, Áustria, Canadá e Austrália. O aplicativo usa um protocolo de criptografia personalizado em violação das normas criptográficas estabelecidas.

As sete falhas mortais

Pesquisadores da universidade de pesquisa ETH, com sede em Zurique relatado na segunda-feira que encontraram sete vulnerabilidades no Threema que questionam seriamente o verdadeiro nível de segurança que o aplicativo ofereceu ao longo dos anos. Duas das vulnerabilidades não exigem acesso especial a um servidor ou aplicativo Threema para personificar criptograficamente um usuário. Três vulnerabilidades exigem que um invasor obtenha acesso a um servidor Threema. Os dois restantes podem ser explorados quando um invasor obtém acesso a um telefone desbloqueado, como em uma passagem de fronteira.

Um diagrama mostrando os três modelos de ameaça para o ataque: quando um invasor tem acesso (1) à comunicação de rede, (2) aos servidores Threema e (3) ao próprio dispositivo da vítima.
Prolongar / Um diagrama mostrando os três modelos de ameaça para o ataque: quando um invasor tem acesso (1) à comunicação de rede, (2) aos servidores Threema e (3) ao próprio dispositivo da vítima.

Paterson e outros.

“No geral, nossos ataques prejudicam seriamente as reivindicações de segurança do Threema”, escreveram os pesquisadores. “Todos os ataques podem ser mitigados, mas em alguns casos é necessária uma grande reformulação.”

As sete vulnerabilidades que os pesquisadores descobriram incluem:

  1. Ator externo sem acesso especial
    1. No caso de uma chave efêmera ser exposta pelo menos uma vez, um invasor pode personificar permanentemente o cliente para o servidor e obter todos os metadados em todas as mensagens E2EE. Esta é uma deficiência notável porque as chaves efêmeras nunca devem ser capazes de autenticar um usuário. Com o Threema, o vazamento de uma chave efêmera tem o mesmo efeito que o vazamento de uma chave de longo prazo. O gerenciamento desleixado de chaves também faz com que o Threema reutilize chaves efêmeras em locais onde nunca deveriam ser reutilizadas.
    2. Uma falha na forma como o protocolo cliente-para-servidor (C2S) do Threema interage com seu protocolo end-to-end (E2E) que faz com que um usuário crie um valor Threema especial conhecido como caixa de comprovante e o envie ao invasor. O invasor pode explorá-lo enganando um usuário para enviar um conjunto de caracteres (u9j6saufs’jjखԻ^rdos1כW:-́;ܡRA) para uma conta especial, mas inócua. Uma maneira possível de um invasor fazer isso é enviar spam para um grande número de usuários, informando-os para enviar a cadeia de caracteres para uma conta específica para se qualificar para um prêmio. A partir desse ponto, o invasor pode representar o cliente hackeado para o servidor.
      Ataque 1.2 na prática: à esquerda, um par de chaves adequado codificado em base64.  Os bytes de chave pública 1 a 31 , também codificados no código QR, consistem em caracteres UTF-8 imprimíveis.  À direita, a conta do gateway *LYTAAAS Threema (já revogada), com a chave pública sequestrada do servidor.  O usuário U enviando o conteúdo do QR para *LYTAAAS como uma mensagem permitirá que *LYTAAAS se autentique para Threema como o U.
      Prolongar / Ataque 1.2 na prática: à esquerda, um par de chaves adequado codificado em base64. Os bytes de chave pública 1 a 31 , também codificados no código QR, consistem em caracteres UTF-8 imprimíveis. À direita, a conta do gateway *LYTAAAS Threema (já revogada), com a chave pública sequestrada do servidor. O usuário U enviando o conteúdo do QR para *LYTAAAS como uma mensagem permitirá que *LYTAAAS se autentique para Threema como o U.
      Uma figura mostrando a interação entre protocolos de uma sessão E2E e C2S.  O invasor reivindica a chave pública do servidor e conhece um par de chaves da forma (z, Z = 0x01 ∥ σ ∥ 0x01).  Eles convencem a vítima U a enviar σ para eles como uma mensagem de texto E2E (em azul, lado esquerdo).  O atacante pode agora iniciar uma sessão do protocolo C2S (lado direito) onde usa o par de chaves “efêmero” (z, Z) e a caixa de comprovante correspondente EK2 (Z) (em azul) para autenticar como U para o servidor .
      Prolongar / Uma figura mostrando a interação entre protocolos de uma sessão E2E e C2S. O invasor reivindica a chave pública do servidor e conhece um par de chaves da forma (z, Z = 0x01 ∥ σ ∥ 0x01). Eles convencem a vítima U a enviar σ para eles como uma mensagem de texto E2E (em azul, lado esquerdo). O atacante pode agora iniciar uma sessão do protocolo C2S (lado direito) onde usa o par de chaves “efêmero” (z, Z) e a caixa de comprovante correspondente EK2 (Z) (em azul) para autenticar como U para o servidor .
  2. Quando um invasor compromete um servidor Threema:
    1. Falta de proteção de integridade nos metadados da mensagem. Como resultado, um invasor pode reordenar e/ou excluir sub-repticiamente as mensagens enviadas de um cliente para outro.
    2. O tratamento de nonce de uso incorreto permite ataques de “repetição e reflexão”, nos quais o agente da ameaça reenvia mensagens antigas e envia a um usuário uma mensagem que o usuário enviou anteriormente para outra pessoa.
    3. Um bug no protocolo de desafio e resposta usado para que um cliente se autentique no servidor durante o registro. Durante o processo, o cliente prova a posse de sua chave privada criptografando uma mensagem do servidor que é criptografada com uma chave pública do servidor. Um servidor comprometido pode explorar esse design para criar “kompromat” ou mensagens potencialmente incriminatórias que podem ser entregues a qualquer momento posterior a um usuário-alvo. Threema corrigiu esta vulnerabilidade em dezembro de 2021, quando um pesquisador separado o avistou.
  3. Quando um invasor obtém acesso a um telefone desbloqueado executando o Threema:
    1. Um recurso que permite aos usuários exportar sua chave privada de um dispositivo para outro. Decisões de design ruins tornam trivial para um invasor usar a chave para clonar uma conta do Threema e acessar todas as mensagens futuras. Combinado com um servidor Threema comprometido, o adversário também pode obter todas as mensagens enviadas anteriormente.
    2. A compactação de mensagem que ocorre antes da criptografia quando o Threema cria um backup, combinada com a capacidade de um invasor usar um recurso de apelido para injetar cadeias de caracteres escolhidas no backup. Isso permite que um invasor mais sofisticado observe o tamanho do arquivo de backup em várias iterações e, eventualmente, recupere a chave privada do usuário.
A composição do protocolo fim-a-fim e cliente-servidor.  Cada cliente estabelece um canal seguro com o servidor usando o protocolo C2S (em amarelo) para enviar e receber mensagens criptografadas em E2E de outros usuários, que são retransmitidas pelo servidor (a conexão em verde).
Prolongar / A composição do protocolo fim-a-fim e cliente-servidor. Cada cliente estabelece um canal seguro com o servidor usando o protocolo C2S (em amarelo) para enviar e receber mensagens criptografadas em E2E de outros usuários, que são retransmitidas pelo servidor (a conexão em verde).

Leave a Reply

Your email address will not be published. Required fields are marked *