WhatsApp aveva 4 enormi falle di sicurezza SSL che avrebbero compromesso i suoi 430 milioni di ID utente e numeri di telefono

Solo pochi giorni dopo che Facebook ha annunciato l’acquisizione dell’app di messaggistica mobile cross-platform WhatsApp, un gruppo di ricercatori ha trovato enormi falle nell’apparato di sicurezza di WhatsApp. Queste falle sono state identificate e riassunte da Praetorian. Praetorian ha messo alla prova la sua nuova piattaforma di testing della sicurezza delle applicazioni mobili, Project Neptune, su WhatsApp e il Project Neptune ha fornito risultati sorprendenti.

• *

Solo due giorni prima, WhatsApp era stato nelle notizie a causa del suo presunto acquisto da 19 miliardi di dollari da parte del gigante dei social network Facebook. Alla data dell’acquisto, WhatsApp aveva 430 milioni di utenti attivi e stava aggiungendo 1 milione di utenti al giorno. Immagina i nomi e i numeri di telefono di 430 milioni di utenti che vengono divulgati online. Questa è solo una teoria fantastica, ma sarebbe stata una realtà se il Project Neptune non avesse fornito il suo rapporto di sicurezza.

• *

Tornando ai mega leak di Snapchat su internet, il personale di sicurezza di WhatsApp ha preso nota del rapporto di Project Neptune e sta lavorando diligentemente per risolvere la situazione, a differenza di Snapchat che ha rifiutato persino di riconoscere la violazione e ha affrontato una situazione imbarazzante con 4,6 milioni di ID utente divulgati online.

• *

Praetorian spiega come è riuscito a sfruttare le falle di sicurezza di WhatsApp. Project Neptune è la nuova piattaforma di testing della sicurezza delle applicazioni mobili di Praetorian che consente alle aziende di tenere il passo con i rapidi cicli di sviluppo mobile incorporando test di sicurezza continui e on-demand. E Praetorian ha scelto WhatsApp come programma di beta test per il suo Project Neptune appena lanciato.

• *

Nel giro di pochi minuti dall’inizio del testing della sicurezza dell’applicazione mobile di Project Neptune su WhatsApp, è stato in grado di identificare ben 4 problemi di sicurezza relativi a SSL che influenzano la riservatezza dei dati degli utenti di WhatsApp che passano in transito verso i server di backend. Questo è il tipo di backdoor che l’NSA e i suoi BigEyes amano per ottenere dati degli utenti in tempo reale. Fondamentalmente consente loro o a un criminale informatico di effettuare un attacco man-in-the-middle sulla connessione e poi degradare la crittografia in modo da poterla violare e spiare il traffico o scaricare i dati degli utenti. Questi problemi di sicurezza mettono a rischio le informazioni e le comunicazioni degli utenti di WhatsApp.

• *

Praetorian ha quindi contattato gli ingegneri di WhatsApp e si suppone che stiano affrontando tutti i problemi di sicurezza segnalati dal Project Neptune. Di seguito sono riportati i problemi riscontrati da Project Neptune e le azioni intraprese da WhatsApp.

• *

*SSL Pinning Non Applicato WhatsApp non esegue SSL pinning quando stabilisce una connessione di fiducia tra le applicazioni mobili e i servizi web di backend. Senza SSL pinning applicato, un attaccante potrebbe effettuare un attacco man-in-the-middle sulla connessione tra le applicazioni mobili e i servizi web di backend. Ciò consentirebbe all’attaccante di intercettare le credenziali degli utenti, gli identificatori di sessione o altre informazioni sensibili.
Aggiornamento 21/02/2014: WhatsApp sta lavorando attivamente per aggiungere ora SSL Pinning*

Supporto per Cifrari di Esportazione SSL Abilitato I server di backend di WhatsApp consentono l’uso di schemi di crittografia deboli a 40 bit e 56 bit. Senza intervento malevolo, questo potrebbe non essere un problema, poiché l’applicazione mobile e il server negozieranno la crittografia e si stabiliranno sulla crittografia più forte che entrambi supportano. Tuttavia, un attaccante potrebbe intercettare la comunicazione e forzare una degradazione a crittografia DES a 40 bit o 56 bit, il che renderebbe possibili attacchi di forza bruta contro la crittografia. Aggiornamento 21/02/2014: Non troviamo più evidenze di supporto per cifrari di esportazione.

*Supporto per Cifrari Null SSL Abilitato La situazione peggiora. WhatsApp supporta anche i Cifrari Null, che sono dati che dovrebbero essere crittografati, ma in realtà non lo sono. I Cifrari Null non eseguono alcuna crittografia. Cioè, copiano semplicemente il flusso di input nel flusso di output senza alcuna modifica. Con il supporto per i Cifrari Null, se l’applicazione mobile client tenta di comunicare con il server utilizzando SSL e entrambe le parti non supportano alcun suite di cifratura comune—come risultato di un’intercettazione malevola—allora tornerà a inviare i dati in chiaro, in testo semplice. Supportare i Cifrari Null non è qualcosa che ci capita spesso—è piuttosto raro. Aggiornamento 21/02/2014: Non troviamo più evidenze di supporto per cifrari null.*

*Supporto per il Protocollo SSLv2 Abilitato È stato anche scoperto che WhatsApp supporta la versione 2 (v2) di SSL, che è stata trovata contenere diverse vulnerabilità. SSLv2 è vulnerabile a diversi attacchi specifici che richiedono sniffing e attacchi man-in-the-middle. Inoltre, SSLv2 utilizza MAC post-critto e MAC a 40 bit, che sono entrambi considerati debolezze di progettazione. A seconda del tempo e delle risorse di un attaccante, qualsiasi comunicazione protetta da SSLv2 potrebbe essere vulnerabile ad attacchi man-in-the-middle che potrebbero consentire la manomissione o la divulgazione dei dati. Aggiornamento 21/02/2014: Non troviamo più evidenze di supporto per SSLv2.*

*Praetorian ha dichiarato che i casi di test di sicurezza intrapresi nel Project Neptune erano non intrusivi e limitati nel loro ambito e sono stati in grado di fornire risultati straordinari. Sperano di ottenere l’autorizzazione da Facebook e WhatsApp per eseguire una valutazione su larga scala e una valutazione di sicurezza più approfondita delle applicazioni mobili e dell’infrastruttura di backend.