A recente adoção da criptografia de ponta a ponta pelo WhatsApp foi um grande negócio na comunidade de segurança cibernética. Contudo, uma pesquisa realizada pela Positive Technologies revela que a criptografia ponta a ponta em serviços como WhatsApp e Telegram é vulnerável. Mais específico, pesquisadores encontraram vulnerabilidades no Sistema de Sinalização 7 (SS7) rede.
É um fato conhecido que códigos de uso único via SMS não são seguros, porque a comunicação móvel é insegura. Tanto a rede SS7 quanto os algoritmos de criptografia da interface aérea sofrem de vulnerabilidades. Ataques em SS7 podem ser realizados de qualquer lugar, e os hackers podem escolher outros alvos além dos mensageiros. É importante notar que todos os testes foram realizados com as configurações padrão, i.e. o modo que a maioria dos usuários aplica.
Como você talvez saiba, A autenticação SMS é aplicada como verificação de segurança em mensagens em vários serviços como o WhatsApp. Esta autenticação é roteada por meio de sinalização SS7. De acordo com os pesquisadores, códigos únicos via SMS não são seguros, porque a comunicação móvel também é. De fato, não apenas a rede SS7 é vulnerável, mas também algoritmos de criptografia de interface aérea. além disso, ataques em SS7 podem ser iniciados de qualquer lugar. Além de mensageiros, atores maliciosos podem visar outros serviços, também.
Mais notícias de segurança do WhatsApp:
Trojan Nivdort espalhado por e-mails falsos do WhatsApp
Criptografia de ponta a ponta do WhatsApp
Como a pesquisa foi conduzida?
Dito, é importante observar que a pesquisa da Positive Technologies foi conduzida com configurações padrão, qual é o modo usado pela maioria dos usuários. Uma conta de teste foi configurada no Telegram e várias mensagens foram trocadas. Em seguida, um ataque SS7 foi realizado nos números de teste via identificação de IMSI (Identidade do assinante móvel internacional).
Após digitar o código, é obtido acesso total à conta do Telegram, incluindo a capacidade de escrever mensagens em nome da vítima, bem como de ler toda a correspondência.
Segundo a empresa, as operadoras móveis devem melhorar a segurança da sinalização e tornar mais difícil para os invasores interceptarem as comunicações. além do que, além do mais, O WhatsApp e serviços semelhantes devem aplicar outra camada de verificação à identidade do usuário.
O que fazem as operadoras de celular e o WhatsApp, Telegram Say?
A SC Magazine UK já abordou o WhatsApp e o Telegram, junto com todas as principais operadoras móveis do Reino Unido. Para agora, nenhum respondeu com um comentário.
Contudo, Jacob Ginsberg, quem é o diretor sênior da Echoworx, disse à revista que o próximo passo lógico para os usuários é “verifique suas configurações para descobrir se eles estão sendo notificados sobre quaisquer alterações em suas chaves ou autenticação“.
O que mais é novo. A única maneira segura é a maneira antiga. 1 cronômetros ou similares. A única coisa que passou pela minha cabeça seria usar uma distribuição Linux ao vivo ou virtual, como o tails, executando-o roteado através do i2p, proxychained ou Tor – mas então aquele bug chato do MIT e tudo… pgp e limpeza de memória, mesmo assim, desative a câmera, microfone e todos os itens não essenciais, levando-o adiante, execute-o em um mini sdcard e wammo coma a maldita coisa. Uma paráfrase de uma citação de, acho que Jefferson ou Jackson?:
“Quando o governo teme o povo, há liberdade, quando os cidadãos temem a tirania do governo” – estamos no meio abrigando ao longo do fio das navalhas.