Falha no SIGNAL permite trocar anexos por outros maliciosos.

 

Desenvolvido pela Open-Whisper Systems de Moxie Marlinspike, o sistema Signal é uma aplicação com foco em privacidade que oferece criptografia de mensagens instantâneas e chamadas de voz para iOS e Android. O aplicativo é recomendado por vários profissionais de renome de privacidade, incluindo Edward Snowden, e especialistas em criptografia (nota: menos eu, já que sistemas assimétricos são essencialmente inseguros e a Lei americana obriga a todos uma forma de acesso).

 

Os pesquisadores Markus Vervier e Jean-Philippe Aumasson analisaram a versão Android do Signal e descobriram vários problemas de segurançaUma delas está relacionada com o código de autenticação de mensagem (MAC) usado para verificar anexos.

 

Quando os usuários enviam um arquivo, o anexo é criptografado primeiro e depois atribuído um MAC que é usado para verificar o remetente e a integridade do arquivo. O arquivo anexo é armazenado em servidores de armazenamento S3 da Amazon e descarregados a partir daí via HTTPS para o dispositivo do destinatário.

 

Vervier e Aumasson determinaram que um atacante tipo homem-no-meio (MITM) que tem acesso ao armazenamento Amazon S3 (nota: como a NSA, FBI ou mesmo um funcionário interno da empresa, por exemplo) ou qualquer um dos certificados CA confiáveis ​​pelo Android, pode transmitir ao usuário visado um anexo alterado - ou seja, você pensa estar baixando uma imagem de seu amigo/amiga mas está baixando na verdade um poderoso malware que passa a espionar tudo que faz. 

 

O problema é que a função de verificação de MAC pode ser contornada por preenchimento do anexo com 4 Gb + 1 byte de dados. Os peritos observaram que, na prática, o atacante não precisa enviar 4 GB de dados para a vítima - eles podem usar compactação do fluxo de HTTP para reduzir o anexo a apenas 4 Mb.

 

Outra falha divulgada pelos pesquisadores está relacionada com a classe CallAudioManager do aplicativo e como ele lida com pacotes em tempo real Transport Protocol (RTP). A falha de segurança permite a um atacante remoto travar o aplicativo de mensagens, mas especialistas acreditam que isso também poderia ser utilizado  para outros fins. O código problemático está presente em outras aplicações também.

 

As vulnerabilidades foram reportadas para os desenvolvedores de sinal em 13 de setembro e correções foram enviadas para GitHub no mesmo dia, mas a versão mais recente do aplicativo disponível no Google Play foi lançado em 9 de setembro, o que significa que uma versão corrigida Android ainda não foi lançada. Outros problemas descobertos pelos pesquisadores no Signal serão divulgadas posteriormente...

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016