OPINIÃO

A falsa segurança dos aplicativos

Por Leonardo Metre *
19/05/2017 ... Convergência Digital

Antes que as pessoas digam que WhatsApp, Telegram e demais aplicativos são seguros com criptografia ponta a ponta, os usuários destes aplicativos deveriam saber que seus dados não são encriptados e são armazenados em dados locais, além disto, grande parte do conteúdo destes aplicativos são armazenados em servidores de internet e estão acessíveis por qualquer um, sem um mínimo de proteção e com total descaso por parte das empresas com os seus usuários finais, isto porque estes aplicativos RTC - rtc real time communication utilizam protocolos como XMPP onde servidores de jump são utilizados para garantir a entrega entre usuários.

Analisei os seguintes aplicativos: Telegram, Skype, WhatsApp, Tinder, Dropbox, Facebook Mobile and Messenger, Gmail, Google Maps, Chrome, Instagram, e muitos outros e no geral, todos estes apresentam o mesmo GAP de segurança.

As metodologias empregadas nesta análise foram engenharia-reversa, cracking, força-bruta, Session-Hijacking, Sniffers, Spoofing de todos os tipos e leitura de dados e de todos os tipos. Antes de tudo, é preciso saber que todos estes aplicativos trabalham com bancos de dados locais, armazenando informações desincriptadas, estruturadas e de fácil leitura em arquivos locais (.db). Vamos listar as vulnerabilidades de apenas alguns, pois estas se replicam aos demais aplicativos listados:

1 - WhatsApp:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens e arquivos, além de lista de bloqueio, preferências e arquivos locais como fotos de perfil e configurações
. Autenticação: Com o SessionHijacking ou roubando certificados é possível se conectar na conta do usuário de WhatsApp, especialmente porque todo perfil de usuário para a geração de certificados se baseia em um padrão baseado no telefone: 552112345-6789@whatsapp.net
. Todos os arquivos ficam armazenados em servidores do WhatsApp e podem ser acessados por terceiros mesmo que estes não tenha recebido o arquivo, basta saber a o endereço de armazenamento do arquivo trocado, no geral, os servidores de armazenamento obedecem uma regra de nomes baseada em mm*.whatsapp.net/


Contatos com mais mensagens Trocadas


Arquivos armazenados em Cloud


Exemplo de imagem trocada por WhatsApp disponível na internet


Mesmo sem softwares pagos é possível extrair conteúdo de dispositivos que utilizem estes aplicativos

2 - Telegram:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens e arquivos foram trocados ponta a ponta, mas os recebidos podem ser acessados localmente
. Sniffando redes utilizando Telegram, conseguimos recuperar o hash da criptografia ponta a ponta, de fato a criptografia ponta-a-ponta do Telegram por mais fraca que seja, precisa ser desencriptada. Ainda vamos buscar mais brechas de segurança no Telegram.


Telegram local Database

3 - Tinder:
. Banco de Dados: Permite ler todos os contatos, troca de mensagens
. Baseado no histórico de perfis passados é possível criar registros no banco de dados no intuito de forçar combinações
. Em termos de privacidade, juntamente com o WhatsApp, o Tinder é um dos últimos, visto que todas as imagens pessoais também são armazenadas em URL's (endereços) e podem ser acessadas por qualquer pessoa através do servidor go.tinder e sem qualquer tipo de autenticação. Nas imagens abaixo, listamos da tabela de usuários a URL de cada foto dos usuários do Tinder para poder acessar fora do aplicativo, estes dados estão abertos
. Autenticação também permite SessionHijacking pois é baseada em certificados bastando recria-los ou adquiri-los via Sniffer ou outros métodos


Tinder DataBase


Tinder Open Picture

Atualmente, todas as nossas comunicações migraram para a internet e em múltiplos dispositivos estando acessíveis de todas as formas, nossa preocupação neste caso não é com as agências de aplicação da lei, mas com cyber-criminosos e violações de privacidade.

É dever de toda agência de aplicação da lei, conhecer estas brechas de segurança para que possam solucionar casos à um baixo custo, ou quase nenhum, bastando saber apenas o "como fazer".

Em casos onde decisores estratégicos, servidores públicos, agentes de governo necessitem se comunicar via chat sobre qualquer plataforma com a nossa codificação ilimitada, solicite uma prova de conceito com o nosso software UNLICH - "Unlich" que é uma abreviatura para "bate-papo ilimitado" -, além de contar com chaves disruptivas, nossos softwares dispõem de uma gama de proteção para vários tipos de cyber-ataques ou tentativas de violação de dados de todas as formas.

* Leonardo Metre - COO MarkzCorp - Cyber-Defence Intelligence Analyst


Carreira
Brasil ganha 50 profissionais capacitados como Cientistas de Dados

São especialistas formados no curso de Cientista de Dados do SAS, lançado em junho de 2016, e que terá uma nova turma - a terceira - a partir do dia 31 de outubro. Curso de formação é presencial e dura 14 meses.


Veja a Cobertura Especial do IX Seminário TelComp 2016

Governo precisa atuar como coordenador na remoção às barreiras inúteis em Telecom

Se não é possível ao governo fazer investimentos, que ele funcione como um coordenador e incentive o diálogo com os órgãos que, hoje, dificultam os investimentos em redes, diz o presidente-executivo da TelComp, João Moura. Novo ciclo do PGMC é a última oportunidade para fomentar a inclusão.


Veja a Cobertura Especial do IX Seminário TelComp 2016

  • Copyright © 2005-2017 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G