Whats... OPA!!! Um problema que vai além do simples chat
Vimos recentemente vários problemas de fraude no whatsapp, mas conhecemos os reais riscos desse ecossistema de mensageria?
No caso do WhatsApp a vulnerabilidade CVE-2019-3568, proporciona acesso de forma não autorizada e o “controle do aparelho” das vítimas, que, possivelmente após receberem uma ligação, serão exploradas através de golpes comuns tais como pedir ou extorquir dinheiro de seus contatos.
Mas nós sabemos de fato as características o ecossistema de mensageria que utilizamos?
Abaixo, com base no nosso cotidiano, podemos gerar um mapa das principais tecnologias e de seus usos, e principalmente de seus riscos.
Nota: As vulnerabilidades publicadas podem ou não estarem relacionadas aos temas correspondentes, o objetivo é relacionar itens publicados e históricos de vulnerabilidades das tecnologias envolvidas.
Isso já é velho, a plataforma whatsapp foi explorada recentemente, mas já em 2016 tinham ocorrido outras explorações, que deixaram evidentes os malefícios do uso do SS7 (SMS) - (Demo). Essa tecnologia, em decorrência da exploração de suas fragilidades, além de abrir possibilidades de espionagem e tracking da “geo-localização” dos usuários, deixa também possível a captura de dados supostamente criptografados, tais como o envio de um token e outras mensagens.
Dentre outros riscos, as aplicações Web ou Mobile, que por vezes se utilizam de tecnologia como SMS para envio de desafios (tokens/OTP`s), são passiveis de ataques “brute-force” ou ainda de ataques “replay” (consiste no reaproveitamento do código recebido), e geram muitas vezes o risco da fraude e do custo deste serviços de mensageria, uma consequência não apenas do protocolo, mas também das más implementações destas aplicações, que fazem uso de tecnologia para autenticação ou notificação.
Para os desenvolvedores, é preferivel a utilização de push notification, ou de outros fatores que não sejam o SMS, caso infelizmente este seja a primeira e única opção, é oportuno que sejam criados mecanismos para atualização desta plataforma no futuro mais próximo possível, que a base de cadastro seja mantida sempre atualizada, e principalmente que seja criado um processo de migração de 2FA forte e testado por equipes de EHT – (Ethical Hacking Testing).
O uso de transferência rápidas, e a personificação das agendas.
Antes mesmo de termos os problemas com o whatsapp e o SMS, já havíamos mapeado possíveis riscos relacionados a transferências rápidas, aquelas transferências baseadas na agenda de contatos, em que se compartilha um pagamento, e de forma prática são bem fáceis de se utilizar. Com o uso corriqueiro, não prestamos atenção se o envio do pagamento está correto, ou seja, se a pessoa que está recebendo o dinheiro é mesmo a pessoa a qual queremos, de fato, enviar o pagamento, ou se seu número está correto?
Pois bem, veremos futuramente que ataques de personificação de agenda, consistem em cadastrar um número diferente com o nome e fotos similares àquele dos cadastros já existentes, deste modo confundindo a vítima. Esses ataques se tornaram mais comuns e presentes com as novas plataformas, pessoas estão caindo nos golpes de sequestro, mas se esquecem principalmente dos problemas de inclusão e compartilhamento de contatos nas redes sociais e suas agendas, que por vezes são publicas, visto que muitos entendem que não há problemas em simples contatos.
O sequestro da conta de chat ou messenger utilizado para transferência e ataques de personificação podem ser mitigados utilizando a nova geração de autenticação biométrica, técnicas como liviness, complementares aos motores de risco, além de um duble-check nas transações que utilizam a agenda telefônica.
Sempre deixando claro que atribuir a fragilidade ou a vulnerabilidade exclusivamente a uma empresa ou tecnologia é no mínimo insensato ou irresponsável, visto que a segurança é também responsabilidade do usuário e de como cuida dos seus dados. Cuidar da segurança dos próprios dados também ajuda na segurança da empresa que lhe presta serviços.
Todos sabemos e já ouvimos falar do famoso Sim-Swap, mas sabemos o que de fato ele é?
O que muitas pessoas não sabem é que o SIM card ou o chip do seu celular é igual ao chip do seu cartão, (seria útil saber mais sobre fraude de cartão de credito – EMV), e segue o protocolo ISO-7816. Isso significa que, da mesma forma do cartão de credito, ele tem controles de segurança e criptografia e que até o presente momento ninguém conseguiu realizar efetivos clones nesta tecnologia de smart-cards. Isso não significa que seja impossível, de qualquer forma o SIM-Hijacking ou Swap é o ato de “desconectar” o chip que é utilizado pela vítima, e por qualquer meio escuso, conseguir habilitar outro chip, ou seja, não se trata de propriamente um clone como muitos imaginam. Esta operação de SIM Swap pode ser realizada através de muitos canais, um deles são as próprias operadoras de telecom, através de insiders infiéis.
Concluindo
O problema do Whatsapp é só um pequeno problema quando falamos de chat e comunicação, as vulnerabilidade estão, muitas vezes, relacionadas aos problemas de autenticação e de 2FA (segundo fator de autenticação).
Em outras oportunidades podemos falar dos novos mecanismos de autenticação, pois o tradicional método usuário e senha aos poucos está sendo substituído e complementado por outros mecanismos, tais como uso de machine-learning e liviness.
Referências
● https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
● https://www.thezdi.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange
● https://tools.ietf.org/id/draft-ietf-sipcore-sip-push-19.html
● https://www.kaspersky.com/blog/ss7-hacked/25529/
● https://www.youtube.com/watch?v=fDJ-88e_06A
● https://www.gta.ufrj.br/~flavio/commovel/Ss7.htm
● https://www.ietf.org/proceedings/50/I-D/sigtran-sua-05.txt
● https://tools.ietf.org/html/rfc3332
● https://hitcon.org/2015/CMT/download/day1-d-r0.pdf
● https://media.blackhat.com/bh-eu-11/Nitesh_Dhanjani/BlackHat_EU_2011_Dhanjani_Attacks_Against_Apples_iOS-WP.pdf
● https://securelist.com/large-scale-sim-swap-fraud/90353/
● https://res.mdpi.com/futureinternet/futureinternet-10-00013/article_deploy/futureinternet-10-00013.pdf?filename=&attachment=1
● https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security.pdf
● https://www.defcon.org/images/defcon-21/dc-21-presentations/Alecu/DEFCON-21-Bogdan-Alecu-Attacking-SIM-Toolkit-with-SMS-WP.pdf
COMENTÁRIOS
Nenhum comentário