19 sep. 2019

Investigadores revelan que se pueden secuestrar mensajes de Signal, Telegram y WhatsApp

Una nueva investigación revela un viejo problema: las aplicaciones de mensajería segura son tan seguras como el sistema en el que se ejecutan.

Las organizaciones de todos los tamaños han llegado a depender de aplicaciones de mensajería seguras como Signal, Telegram y WhatsApp bajo el supuesto de que el contenido confidencial que se comparte de esta manera seguirá siendo confidencial, una suposición destruida por una nueva investigación del Cisco Talos Intelligence Group.

Los investigadores de Talos han demostrado cómo los ataques de canal lateral de secuestro de sesión ponen a las aplicaciones de mensajería seguras, incluidas Signal, Telegram y WhatsApp, en riesgo de exponer por completo los mensajes del usuario. Vitor Venture, el líder técnico de Talos, afirma: "Si un atacante puede copiar los tokens de sesión de un usuario de escritorio, podrá secuestrar la sesión. El atacante no necesitará nada más que la información almacenada localmente."
Es importante destacar que no importa si esa información está realmente cifrada; copiar los datos permite al actor de amenazas crear una 'sesión de sombra' y se acabó el juego.

Aunque las metodologías y las consecuencias específicas varían entre las aplicaciones de mensajería mencionadas, los protocolos criptográficos que utilizan (MT Protocol or Signal Protocol) para el cifrado de extremo a extremo no pueden proteger los mensajes de los usuarios de los vectores de ataque a la interfaz de usuario.

Por ejemplo, el framework Electron, que utilizan tanto Signal como WhatsApp, podría tener una vulnerabilidad que conduzca a la ejecución remota de código y a la copia de mensajes. Además, está el hecho de que estas aplicaciones también se ejecutan en múltiples plataformas, incluidas las máquinas de escritorio. A principios de este año, Talos publicó un análisis del malware TeleGrab que secuestraba sesiones de Telegram mediante estas técnicas.

Los investigadores pensaron que se podían aplicar la misma técnica utilizada por TeleGrab contra las aplicaciones de mensajería, lamentablemente con gran éxito.

Entonces, ¿dónde deja esto a los usuarios comerciales de las llamadas aplicaciones de mensajería segura? ¿Deberían continuar usándolos, de hecho deberían estar usándolos para compartir información confidencial en primer lugar?

Wicus Ross, investigador principal de seguridad en SecureData Labs, recuerda que los exploits basados ​​en laboratorios no necesariamente se traducen en ataques del mundo real. "La mayoría de los ataques de canal lateral son ineficientes, caros y complejos en comparación con otros medios más convencionales. Hay formas más fáciles de extraer información de personas o dispositivos que tratar de filtrar datos aleatorios de un dispositivo".

Ron Masas, investigador de seguridad en Imperva, no está tan seguro. "Los ataques de canal lateral en sistemas que no son criptosistemas son probablemente la forma de ataque más ignorada que vemos hoy. La superficie de ataque es enorme y cuando se combina con la baja conciencia, tienes un problema real en tus manos. Si su sistema operativo se ve comprometido, hay pocas aplicaciones que se ejecuten en el sistema para evitar que el atacante obtenga datos confidenciales".

John Safa, fundador del proveedor de entrega de contenido seguro Pushfor, explicó que "Usar estas aplicaciones de mensajería para el consumidor en los negocios es muy riesgoso. La mayoría de las aplicaciones de mensajería tienen datos almacenados en servidores que no están bajo el control de los usuarios. El contenido compartido en plataformas de mensajería no está diseñado para compartir contenido de manera segura, por lo que se puede descargar al dispositivo, capturar o copiar".

Eso sin tener en cuenta el "pequeño" problema de que los ex empleados se llevan ese contenido con ellos y la "responsabilidad nula de los datos compartidos a través de una aplicación de mensajería para el consumidor porque no hay registro de si, qué contenido y cómo se comparte en las redes."

"El hecho de que se llame 'segura' a una aplicación no significa que el sistema en el que está instalado sea seguro", advierte Daniel Smith, investigador del Equipo de Respuesta a Emergencias de Radware.

¿Qué deberían hacer las plataformas seguras de mensajería para mitigar estas vulnerabilidades? ¿Hay demasiado énfasis en los protocolos criptográficos que protegen los datos en tránsito (y en reposo en sus propios servidores) a expensas de proteger el estado de la aplicación y la información del usuario delegando este proceso de seguridad en el sistema operativo?

"El cifrado de extremo a extremo ha elevado considerablemente la barra de seguridad: asegurar los datos en reposo también es una función importante cuando se busca la seguridad completa", dice Ed Williams, director de SpiderLabs de EMEA en Trustwave. "Una tercera parte de eso tiene que ser el usuario y ahora deben soportar parte de la carga de seguridad".

Como dice Williams, "la capacidad de usar un escritorio para ver mensajes es puramente por conveniencia, y sabemos que la seguridad y la conveniencia no siempre van de la mano..."

Fuente: SCMagazine

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!