A falsa segurança dos aplicativos
Antes que as pessoas digam que WhatsApp, Telegram e demais aplicativos são seguros com criptografia ponta a ponta, os usuários destes aplicativos deveriam saber que seus dados não são encriptados e são armazenados em dados locais, além disto, grande parte do conteúdo destes aplicativos são armazenados em servidores de internet e estão acessíveis por qualquer um, sem um mínimo de proteção e com total descaso por parte das empresas com os seus usuários finais, isto porque estes aplicativos RTC – rtc real time communication utilizam protocolos como XMPP onde servidores de jump são utilizados para garantir a entrega entre usuários.
Analisei os seguintes aplicativos: Telegram, Skype, WhatsApp, Tinder, Dropbox, Facebook Mobile and Messenger, Gmail, Google Maps, Chrome, Instagram, e muitos outros e no geral, todos estes apresentam o mesmo GAP de segurança.
As metodologias empregadas nesta análise foram engenharia-reversa, cracking, força-bruta, Session-Hijacking, Sniffers, Spoofing de todos os tipos e leitura de dados e de todos os tipos. Antes de tudo, é preciso saber que todos estes aplicativos trabalham com bancos de dados locais, armazenando informações desincriptadas, estruturadas e de fácil leitura em arquivos locais (.db). Vamos listar as vulnerabilidades de apenas alguns, pois estas se replicam aos demais aplicativos listados:
1 – WhatsApp:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens e arquivos, além de lista de bloqueio, preferências e arquivos locais como fotos de perfil e configurações
. Autenticação: Com o SessionHijacking ou roubando certificados é possível se conectar na conta do usuário de WhatsApp, especialmente porque todo perfil de usuário para a geração de certificados se baseia em um padrão baseado no telefone: [email protected]
. Todos os arquivos ficam armazenados em servidores do WhatsApp e podem ser acessados por terceiros mesmo que estes não tenha recebido o arquivo, basta saber a o endereço de armazenamento do arquivo trocado, no geral, os servidores de armazenamento obedecem uma regra de nomes baseada em mm*.whatsapp.net/
|
Exemplo de imagem trocada por WhatsApp disponível na internet
Mesmo sem softwares pagos é possível extrair conteúdo de dispositivos que utilizem estes aplicativos
2 – Telegram:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens e arquivos foram trocados ponta a ponta, mas os recebidos podem ser acessados localmente
. Sniffando redes utilizando Telegram, conseguimos recuperar o hash da criptografia ponta a ponta, de fato a criptografia ponta-a-ponta do Telegram por mais fraca que seja, precisa ser desencriptada. Ainda vamos buscar mais brechas de segurança no Telegram.
3 – Tinder:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens
. Baseado no histórico de perfis passados é possível criar registros no banco de dados no intuito de forçar combinações
. Em termos de privacidade, juntamente com o WhatsApp, o Tinder é um dos últimos, visto que todas as imagens pessoais também são armazenadas em URL’s (endereços) e podem ser acessadas por qualquer pessoa através do servidor go.tinder e sem qualquer tipo de autenticação. Nas imagens abaixo, listamos da tabela de usuários a URL de cada foto dos usuários do Tinder para poder acessar fora do aplicativo, estes dados estão abertos
. Autenticação também permite SessionHijacking pois é baseada em certificados bastando recria-los ou adquiri-los via Sniffer ou outros métodos
Atualmente, todas as nossas comunicações migraram para a internet e em múltiplos dispositivos estando acessíveis de todas as formas, nossa preocupação neste caso não é com as agências de aplicação da lei, mas com cyber-criminosos e violações de privacidade.
É dever de toda agência de aplicação da lei, conhecer estas brechas de segurança para que possam solucionar casos à um baixo custo, ou quase nenhum, bastando saber apenas o “como fazer”.
Em casos onde decisores estratégicos, servidores públicos, agentes de governo necessitem se comunicar via chat sobre qualquer plataforma com a nossa codificação ilimitada, solicite uma prova de conceito com o nosso software UNLICH – “Unlich” que é uma abreviatura para “bate-papo ilimitado” -, além de contar com chaves disruptivas, nossos softwares dispõem de uma gama de proteção para vários tipos de cyber-ataques ou tentativas de violação de dados de todas as formas.
* Leonardo Metre – COO MarkzCorp – Cyber-Defence Intelligence Analyst