WhatsApp tenía 4 enormes agujeros de seguridad SSL que habrían comprometido sus 430 millones de identificaciones de usuario y números de teléfono

Solo días después de que Facebook anunciara su adquisición de WhatsApp, una aplicación de mensajería móvil multiplataforma, un grupo de investigadores encontró enormes agujeros en el aparato de seguridad de WhatsApp. Estos agujeros han sido identificados y resumidos por Praetorian. Praetorian puso a prueba su nueva plataforma de pruebas de seguridad de aplicaciones móviles, Project Neptune, en WhatsApp y Project Neptune arrojó algunos resultados sorprendentes.

• *

Solo dos días antes, WhatsApp había estado en las noticias debido a su reportada adquisición de $19 mil millones por parte del gigante de las redes sociales Facebook. En la fecha de compra, WhatsApp tenía 430 millones de usuarios activos y estaba sumando 1 millón de usuarios al día. Imagina los nombres y números de teléfono de 430 millones de usuarios siendo filtrados en línea. Esa es solo una teoría fantástica, pero habría sido una realidad si no hubiera sido por el informe de seguridad de Project Neptune.

• *

Volviendo a las mega filtraciones de Snapchat en internet, el personal de seguridad de WhatsApp tomó debida nota del informe de Project Neptune y está trabajando diligentemente para resolverlo, a diferencia de Snapchat, que se negó incluso a reconocer la brecha y enfrentó una situación embarazosa al tener 4.6 millones de identificaciones de usuario filtradas en línea.

• *

Praetorian explica cómo logró engancharse a las fallas de seguridad de WhatsApp. Project Neptune es la nueva plataforma de pruebas de seguridad de aplicaciones móviles de Praetorian que permite a las empresas mantenerse al día con los rápidos ciclos de desarrollo móvil al incorporar pruebas de seguridad continuas y bajo demanda. Y Praetorian eligió a WhatsApp como un programa de prueba beta para su recién lanzado Project Neptune.

• *

En cuestión de minutos después de iniciar las pruebas de seguridad de la aplicación móvil de Project Neptune en WhatsApp, pudo identificar hasta 4 problemas de seguridad relacionados con SSL que afectan la confidencialidad de los datos de los usuarios de WhatsApp que pasan en tránsito a los servidores de backend. Este es el tipo de puerta trasera que a la NSA y sus BigEyes les encanta para obtener datos de usuarios en tiempo real. Básicamente, les permite a ellos o a un criminal cibernético interceptar la conexión y luego degradar la encriptación para que puedan romperla y espiar el tráfico o descargar datos de usuarios. Estos problemas de seguridad ponen en riesgo la información y las comunicaciones de los usuarios de WhatsApp.

• *

Praetorian luego se puso en contacto con los ingenieros de WhatsApp y se supone que están atendiendo todos los problemas de seguridad señalados por Project Neptune. A continuación se presentan los problemas encontrados por Project Neptune y la acción tomada por WhatsApp al respecto.

• *

*SSL Pinning No Aplicado WhatsApp no realiza SSL pinning al establecer una conexión de confianza entre las aplicaciones móviles y los servicios web de backend. Sin SSL pinning aplicado, un atacante podría interceptar la conexión entre las aplicaciones móviles y los servicios web de backend. Esto permitiría al atacante espiar credenciales de usuario, identificadores de sesión u otra información sensible.
Actualización 21/02/2014: WhatsApp está trabajando activamente en agregar SSL Pinning ahora*

Soporte de Cifrados de Exportación SSL Habilitado Los servidores de backend de WhatsApp permiten el uso de esquemas de encriptación débiles de 40 bits y 56 bits. Sin intervención maliciosa, esto puede no ser un problema, porque la aplicación móvil y el servidor negociarán la encriptación y se establecerán en la más fuerte que ambos soporten. Sin embargo, un atacante podría interceptar la comunicación y forzarla a degradarse a encriptación DES de 40 bits o 56 bits, lo que haría factibles los ataques de fuerza bruta contra la encriptación. Actualización 21/02/2014: Ya no encontramos evidencia de soporte para cifrados de exportación.

*Soporte de Cifrados Nulos SSL Habilitado Se pone peor. WhatsApp incluso admite Cifrados Nulos, que son datos que se supone que deben estar encriptados, pero en realidad no lo están. Los Cifrados Nulos no realizan ninguna encriptación. Es decir, simplemente copian el flujo de entrada al flujo de salida sin ningún cambio. Con el soporte de Cifrados Nulos, si la aplicación móvil cliente intenta comunicarse con el servidor usando SSL y ambas partes no soportan ningún conjunto de cifrados común—como resultado de una interceptación maliciosa—entonces volvería a enviar los datos en texto claro. El soporte de Cifrados Nulos no es algo que encontramos a menudo—es bastante raro. Actualización 21/02/2014: Ya no encontramos evidencia de soporte para cifrados nulos.*

*Soporte de Protocolo SSLv2 Habilitado WhatsApp también fue encontrado soportando la versión 2 (v2) de SSL, que se ha encontrado que contiene varias debilidades. SSLv2 es vulnerable a varios ataques específicos que requieren espiar y hacer man-in-the-middle. Además, SSLv2 utiliza MAC post-encriptación y MACs de 40 bits, que se consideran debilidades de diseño. Dependiendo del tiempo y los recursos de un atacante, cualquier comunicación protegida por SSLv2 puede ser vulnerable a ataques de man-in-the-middle que podrían permitir la manipulación o divulgación de datos. Actualización 21/02/2014: Ya no encontramos evidencia de soporte para SSLv2.*

*Praetorian dijo que los casos de prueba de seguridad realizados en Project Neptune fueron no intrusivos y limitados en alcance y pudieron dar resultados asombrosos. Espera obtener la autorización de Facebook y WhatsApp para realizar una evaluación a gran escala y una evaluación de seguridad más exhaustiva de las aplicaciones móviles y la infraestructura de backend.