26 ago. 2019

¿China podría conocer el teléfono en grupos de Telegram? Y, la discusión del cifrado extremo a extremo

Telegram es utilizada por activistas en favor de la democracia en Hong Kong como un medio para mantener las comunicaciones alejadas de las miradas indiscretas de las autoridades chinas. Telegram ha sido prohibido en el país desde 2015, pero los usuarios han encontrado soluciones alternativas.
Desafortunadamente, ha surgido un nuevo problema técnico con los mensajes grupales que podría estar filtrando números de teléfono de los usuarios de un grupo. Los manifestantes afirman que esto ya ha permitido a las agencias gubernamentales identificar y atacar a algunas personas.

Este problema en particular no abre el contenido del mensaje privado: estos son grupos públicos. Pero demuestra lo que puede suceder cuando las autoridades pueden comprometer la privacidad dentro de plataformas seguras. Y ahí es donde esto es un recordatorio de lo que está en juego en el debate más amplio sobre el cifrado, y por qué las pasiones sobre el tema son tan altas.

"Necesitamos ayuda de @telegram", tuiteó el ingeniero de software local Chu Ka-Cheong. "Nosotros y varios equipos hemos confirmado independientemente una vulnerabilidad grave que hace que los números de teléfono se filtren a los miembros de grupos públicos, independientemente de la configuración de privacidad. Telegram se usa mucho en #hkprotest, pone a los HKers en amenazas inmediatas".

Según lo informado por Reclaim The Net, la "vulnerabilidad" (no es tal) se hizo pública en un popular foro de discusión de Hong Kong, explota los grupos de acceso público, donde los usuarios del grupo han seleccionado mantener su número de teléfono privado. Si las autoridades agregan miles de números de teléfono a un dispositivo y luego sincronizan ese dispositivo con Telegram, pueden hacer coincidir los números almacenados con los números no revelados en el grupo, exponiendo las coincidencias. Una empresa de telecomunicaciones puede revelar las identidades reales asociadas con esos números.

Chu Ka-cheong, Director del Capítulo de Internet Society en Hong Kong, le dijo a ZDNet que "la privacidad de un número de teléfono utilizado con Telegram siempre ha sido un problema", dado que Telegram (al igual que otras aplicaciones de mensajería segura) utiliza números de teléfono como identificadores. "Pero hasta hoy no hemos sido conscientes de que configurar [quién puede ver un número de teléfono] en 'Nadie' permitiría que los usuarios que guardaron su número de teléfono en la libreta de direcciones hagan coincidir el número de teléfono con los miembros del grupo público. Esto nos sorprendió a todos".

Reuters informó un compromiso similar en 2016, cuando "atacantes iraníes comprometieron más de una docena de cuentas en el servicio de mensajería instantánea de Telegram e identificaron los números de teléfono de 15 millones de usuarios iraníes, la mayor violación conocida del sistema de comunicaciones cifradas, centrado en mensajes de activación de SMS en lugar de listas de contactos sincronizados".

Actualmente no existe una solución alternativa para los manifestantes, excepto cambiar las cuentas de Telegram a teléfonos de un sólo uso y anónimos que no se pueden rastrear. Y eso introduce un conjunto completo de nuevos desafíos logísticos.

Telegram señaló a ZDNet que la plataforma limita la cantidad de contactos que se pueden sincronizar, y "una vez que se le prohíbe importar contactos, solo puede agregar hasta cinco números nuevos por día". Pero claramente este es el estado chino en el que estamos hablando, y el hecho de que hay una vulnerabilidad da una oportunidad para explotarla.

"Hemos sospechado que algunos atacantes patrocinados por el gobierno han explotado este error y lo utilizan para atacar a los manifestantes de Hong Kong. En algunos casos, la publicación de representa un peligro inmediato para la vida de los manifestantes", advirtió Chu.

Las implicaciones de este problema se extienden más allá de Hong Kong. La aspiración de las agencias gubernamentales a descifrar las plataforma de mensajes es generalizada, y este año hemos visto un debate significativo provocado por los legisladores de EE.UU. y el Reino Unido que hacen públicas esas aspiraciones. A las agencias no les gusta no poder "interceptar legalmente" los intercambios de mensajes entre personas de interés.

El debate sobre el cifrado ha ido ganando terreno en los últimos meses, y la retórica del gobierno sugiere fuertemente un cambio de las discusiones exploratorias "en principio" a las opciones de ejecución. La mensajería cifrada de extremo a extremo es un problema genuino para la policía. A medida que el mundo pasó de los mensajes de texto y correo electrónico tradicionales (y abiertos) a plataformas IP cifradas como WhatsApp, iMessage, Signal, Telegram y Wickr, los investigadores han "oscurecido" su posibilidad de acceder a los mensajes, incluso con una orden judicial en mano.

La industria de la mensajería segura y los cabilderos de privacidad argumentan que una vez que se introduce una puerta trasera de este tipo, se puede explotar y se pueden encontrar las claves. También argumentan que no todos los gobiernos pueden considerarse "buenos", así que ¿quién otorga el acceso?. "Decidir quién recibe este tipo de tecnología de intercepción significa que estamos en el negocio de determinar quién es bueno y quién es malo", dijo el CEO de Wickr, Joel Wallenstrom, a principios de este año.

Esta "vulnerabilidad" de Telegram es un accidente, no una puerta trasera, y revela identidades, no contenido. Pero es oportuno dado ese debate de mensajes cifrados más amplio. Una vez que las plataformas se debilitan y una vez que se introducen las puertas traseras, hay jugadores técnicos serios que aprovecharán esas debilidades en algunos de los rincones más oscuros del mundo.

Actualización: desde Telegram me confirman que lo que se describe como una "vulnerabilidad" siempre ha sido una característica documentada en el sistema (imagen): tal como otras apps basadas en los contactos (WhatsApp, Facebook Messenger), Telegram debe permitirte encontrar a tus contactos del teléfono que también están usando la app.

Fuente: Forbes

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!