WhatsApp tinha 4 grandes falhas de segurança SSL que poderiam ter comprometido seus 430 milhões de IDs de usuário e números de telefone

Somente dias após o Facebook anunciar sua aquisição do WhatsApp, um aplicativo de mensagens móveis multiplataforma, um grupo de pesquisadores encontrou grandes falhas no aparato de segurança do WhatsApp. Essas falhas foram identificadas e resumidas pela Praetorian. A Praetorian colocou sua nova plataforma de teste de segurança de aplicativos móveis, o Projeto Neptune, à prova no WhatsApp e o Projeto Neptune apresentou alguns resultados surpreendentes.

• *

Somente dois dias antes, o WhatsApp havia estado nas notícias devido à sua aquisição reportada de $19 bilhões pela gigante das redes sociais Facebook. Na data da compra, o WhatsApp tinha 430 milhões de usuários ativos e estava adicionando 1 milhão de usuários por dia. Imagine os nomes e números de telefone de 430 milhões de usuários sendo vazados online. Isso é apenas uma teoria fantástica, mas teria sido uma realidade se o Projeto Neptune não tivesse entregue seu relatório de segurança.

• *

Voltando aos mega vazamentos do Snapchat na internet, a equipe de segurança do WhatsApp tomou devido conhecimento do relatório do Projeto Neptune e está trabalhando diligentemente para resolver o mesmo, ao contrário do Snapchat, que se recusou até mesmo a reconhecer a violação e enfrentou uma situação embaraçosa de ter 4,6 milhões de IDs de usuário vazados online.

• *

A Praetorian explica como conseguiu se conectar às falhas de segurança do WhatsApp. O Projeto Neptune é a nova plataforma de teste de segurança de aplicativos móveis da Praetorian que permite que as empresas acompanhem os ciclos de desenvolvimento móvel rápidos, incorporando testes de segurança contínuos e sob demanda. E a Praetorian escolheu o WhatsApp como um programa de teste beta para seu recém-lançado Projeto Neptune.

• *

Dentro de minutos após iniciar os testes de segurança do aplicativo móvel do Projeto Neptune no WhatsApp, foi capaz de identificar até 4 problemas de segurança relacionados ao SSL que afetam a confidencialidade dos dados dos usuários do WhatsApp que passam em trânsito para os servidores de back-end. Este é o tipo de porta dos fundos que a NSA e seus BigEyes adoram para obter dados dos usuários em tempo real. Basicamente, isso permite que eles ou um criminoso cibernético façam um ataque man-in-the-middle na conexão e, em seguida, rebaixem a criptografia para que possam quebrá-la e espionar o tráfego ou baixar dados dos usuários. Esses problemas de segurança colocam as informações e comunicações dos usuários do WhatsApp em risco.

• *

A Praetorian então entrou em contato com os engenheiros do WhatsApp e eles devem estar atendendo a todos os problemas de segurança apontados pelo Projeto Neptune. Abaixo estão os problemas encontrados pelo Projeto Neptune e as ações tomadas pelo WhatsApp em relação a eles.

• *

*SSL Pinning Não Aplicado O WhatsApp não realiza SSL pinning ao estabelecer uma conexão confiável entre os aplicativos móveis e os serviços web de back-end. Sem o SSL pinning aplicado, um atacante poderia fazer um ataque man-in-the-middle na conexão entre os aplicativos móveis e os serviços web de back-end. Isso permitiria que o atacante capturasse credenciais de usuário, identificadores de sessão ou outras informações sensíveis.
Atualização 21/02/2014: O WhatsApp está trabalhando ativamente para adicionar SSL Pinning agora*

Suporte a Cifras de Exportação SSL Habilitado Os servidores de back-end do WhatsApp permitem o uso de esquemas de criptografia fracos de 40 bits e 56 bits. Sem intervenção maliciosa, isso pode não ser um problema, porque o aplicativo móvel e o servidor negociarão a criptografia e se estabelecerão na criptografia mais forte que ambos suportam. No entanto, um atacante poderia interceptar a comunicação e forçá-la a rebaixar para criptografia DES de 40 bits ou 56 bits, o que tornaria viáveis ataques de força bruta contra a criptografia. Atualização 21/02/2014: Não encontramos mais evidências de suporte a cifras de exportação.

*Suporte a Cifras Nulas SSL Habilitado A situação piora. O WhatsApp até suporta Cifras Nulas, que são dados que deveriam ser criptografados, mas na realidade não são. Cifras Nulas não realizam nenhuma criptografia. Ou seja, simplesmente copia o fluxo de entrada para o fluxo de saída sem quaisquer alterações. Com o suporte a Cifras Nulas, se o aplicativo móvel cliente tentar se comunicar com o servidor usando SSL e ambas as partes não suportarem nenhum conjunto de cifras comum—como resultado de uma interceptação maliciosa—então ele voltaria a enviar os dados em texto claro. O suporte a Cifras Nulas não é algo que encontramos com frequência—é bastante raro. Atualização 21/02/2014: Não encontramos mais evidências de suporte a cifras nulas.*

*Suporte ao Protocolo SSLv2 Habilitado O WhatsApp também foi encontrado suportando a versão 2 (v2) do SSL, que foi considerada vulnerável a várias fraquezas. O SSLv2 é vulnerável a vários ataques específicos que requerem captura e man-in-the-middle. Além disso, o SSLv2 utiliza MAC pós-criptografia e MACs de 40 bits, que são considerados fraquezas de design. Dependendo do tempo e dos recursos de um atacante, qualquer comunicação protegida pelo SSLv2 pode ser vulnerável a ataques man-in-the-middle que poderiam permitir a adulteração ou divulgação de dados. Atualização 21/02/2014: Não encontramos mais evidências de suporte ao SSLv2.*

A Praetorian disse que os casos de teste de segurança realizados no Projeto Neptune foram não intrusivos e limitados em escopo e conseguiram fornecer resultados impressionantes. Ela espera obter autorização do Facebook e do WhatsApp para realizar uma avaliação em larga escala e uma avaliação de segurança mais aprofundada dos aplicativos móveis e da infraestrutura de back-end.