Thijs Alkemade, estudante de ciência da computação e
matemática da Universidade de Utrecht - Holanda - descobriu recentemente
uma falha grave na criptografia do aplicativo Whatsapp.
Segundo ele, o aplicativo possui um erro no momento em que a criptografia foi implementada (no momento do seu desenvolvimento). Esse erro consiste no fato de que a mesma chave é usada para criptografar os fluxos de entrada e saída entre o cliente e o servidor do serviço. Ou seja, tendo duas mensagens criptografadas com a mesma chave, um cracker pode conseguir interceptá-las. Ele poderá analisar as mensagens para decifrar a chave e assim recuperar a informação original.
“Você deve considerar todas as suas conversas pelo WhatsApp totalmente comprometidas. Não há nada que o usuário possa fazer relativamente a esta situação, a não ser parar de usá-lo até que os programadores possam atualizá-lo.” Disse Alkemade em um post no seu blog.
A reutilização de chaves é um erro extremamente básico e grave, mas que constantemente aparece. Algo parecido ocorreu quando a PSN (PlayStation Network), foi invadida e dados de usuários roubados.
Além disso, o app também utiliza a mesma chave de criptografia RC4 para operações HMAC (em português, Código de Autenticação de Mensagens com Base em Hash) para autenticar mensagens. Isso permitiria que um cracker interceptasse uma mensagem enviada por um usuário ao servidor e a reenviasse de volta para o usuário, como se ela tivesse vindo do servidor do WhatsApp, entretanto, isso é algo complexo que não poderia ser feito facilmente.
“RC4 é um PRNG [gerador de números pseudo-aleatórios] que gera um fluxo de bytes, no qual é feita uma operação de criptografia chamada de XOR com o texto que será criptografado. Ao usar o XOR no texto cifrado com o mesmo fluxo, o texto original é recuperado”, disse Alkemade em seu blog. O post completo pode ser lido aqui.
Em um comunicado à imprensa, O CEO da empresa afirmou que leva a segurança a sério e que os programadores do produto estão sempre à procura de novas formas de melhorar o produto. Disse ainda que aprecia o feedback, e que estão de certa forma preocupados com as afirmações do estudante, que descreve um cenário que é mais de natureza teórica e diz que é impreciso afirmar que todas as conversas devem ser consideradas comprometidas.
Fonte: http://gris.dcc.ufrj.br/news/encontrada-falha-grave-de-seguranca-no-whatsapp
.jpg)
Segundo ele, o aplicativo possui um erro no momento em que a criptografia foi implementada (no momento do seu desenvolvimento). Esse erro consiste no fato de que a mesma chave é usada para criptografar os fluxos de entrada e saída entre o cliente e o servidor do serviço. Ou seja, tendo duas mensagens criptografadas com a mesma chave, um cracker pode conseguir interceptá-las. Ele poderá analisar as mensagens para decifrar a chave e assim recuperar a informação original.
“Você deve considerar todas as suas conversas pelo WhatsApp totalmente comprometidas. Não há nada que o usuário possa fazer relativamente a esta situação, a não ser parar de usá-lo até que os programadores possam atualizá-lo.” Disse Alkemade em um post no seu blog.
A reutilização de chaves é um erro extremamente básico e grave, mas que constantemente aparece. Algo parecido ocorreu quando a PSN (PlayStation Network), foi invadida e dados de usuários roubados.
Além disso, o app também utiliza a mesma chave de criptografia RC4 para operações HMAC (em português, Código de Autenticação de Mensagens com Base em Hash) para autenticar mensagens. Isso permitiria que um cracker interceptasse uma mensagem enviada por um usuário ao servidor e a reenviasse de volta para o usuário, como se ela tivesse vindo do servidor do WhatsApp, entretanto, isso é algo complexo que não poderia ser feito facilmente.
“RC4 é um PRNG [gerador de números pseudo-aleatórios] que gera um fluxo de bytes, no qual é feita uma operação de criptografia chamada de XOR com o texto que será criptografado. Ao usar o XOR no texto cifrado com o mesmo fluxo, o texto original é recuperado”, disse Alkemade em seu blog. O post completo pode ser lido aqui.
Em um comunicado à imprensa, O CEO da empresa afirmou que leva a segurança a sério e que os programadores do produto estão sempre à procura de novas formas de melhorar o produto. Disse ainda que aprecia o feedback, e que estão de certa forma preocupados com as afirmações do estudante, que descreve um cenário que é mais de natureza teórica e diz que é impreciso afirmar que todas as conversas devem ser consideradas comprometidas.
Fonte: http://gris.dcc.ufrj.br/news/encontrada-falha-grave-de-seguranca-no-whatsapp
.jpg)
