Vulnerabilidade no TestSecure
Um grupo de pesquisadores que auditou do popular aplicativo TextSecure Privada Mensageiro descobriu que ele é vulnerável a ataques desconhecidos Key-Compartilhar.
Os documentos divulgados por Eduard Snowden em atividades de vigilância tem causado um aumento na demanda de ferramentas de privacidade e soluções como o aplicativo TextSecure que nós vamos discutir neste post.
TextSecure é um aplicativo gratuito móvel Android desenvolvido pelaWhisperSystems Abertas , o seu código é open-source e ele implementa criptografia end-to-end para proteger mensagens de texto enviadas pelos usuários.
O aplicativo foi baixado TextSecure por cerca de 500.000 usuários da Google Play Store oficial. Uma equipe de pesquisadores da Universidade Ruhr, em Bochum realizou uma auditoria sobre TextSecure app descobrindo que o aplicativo móvel está aberto a um Desconhecido Key-Share ataque .
TextSecure é considerado um dos aplicativo de mensagens de texto mais eficiente para dispositivos móveis e sua popularidade aumentou após o Facebook comprou WhatsApp, devido ao medo dos usuários de que as agências de inteligência poderiam ter impostas à empresa para dar-lhes o acesso aos servidores.
"Desde que o Facebook comprou WhatsApp, aplicativos de mensagens instantâneas, com garantias de segurança tornou-se cada vez mais popular", "Nós somos o primeiro a completamente e com precisão documentar e analisar o protocolo de envio de mensagens seguras de TEXTSECURE", afirma o autor da auditoria em um estudo intitulado " Como Seguro é TextSecure? ".
A equipa de investigação explicou um documento completo e preciso e analisar de protocolo de envio de mensagens seguras de TextSecure.
De acordo com a equipe de pesquisa, TextSecure trabalha em um protocolo criptográfico que é implementado no CyanogenMod firmware, e os pesquisadores descobriram uma forma de compromisso com um um desconhecido Key-Share Attack (UKS) contra o protocolo.
"Nós encontramos um Desconhecido Key-Share ataque contra o protocolo.Nós documentamos o ataque e mostrar como ela pode ser mitigado. O ataque foi comunicada e reconhecida pelos desenvolvedores do TEXTSECURE. Nós mostramos que o nosso método proposto de mitigação realmente resolve o problema ", a equipe explicou."Nós mostramos que, se as chaves públicas de longo prazo são autênticos, assim são as chaves de mensagem, e que o bloco de criptografia de TextSecure é realmente um tempo de stateful autenticada criptografia [e] provar impulso de mensagens da TextSecure pode realmente alcançar os objetivos de autenticidade e confidencialidade . "
Este é o cenário de ataque explicada pelos pesquisadores com um exemplo:
"UKS ataque, substituindo sua própria chave pública com Nelsons (PE) de chave pública e permite que Milhouse verificar a impressão digital da sua nova chave pública. Isto pode ser justificado, por exemplo, com a pretensão de ter um novo dispositivo e ter simplesmente re-registado, que exige menos esforço do que restaurar um backup criptografado do material de chave existente. Agora, como é explicado em mais detalhes abaixo, se Milhouse convida Bart para sua festa de aniversário, então Bart pode apenas transmitir esta mensagem a Nelson que vai acreditar que esta mensagem foi realmente enviada de Milhouse. Assim, Milhouse (Pa) acredita que ele convidou Bart (Pb) para sua festa de aniversário, onde, de fato, ele convidou Nelson (Pe) "
Os especialistas no documento também recomenda uma estratégia de mitigação, que poderiam evitar Desconhecido Key-Share ataque contra usuários do TextSecure.A solução proposta pela equipe foi aceito pela equipe de desenvolvimento do aplicativo, ele faz impulso de mensagens da TextSecure seguro e atinge stateful autenticada criptografia de uma só vez.
Comentários