O aplicativo de mensagens WhatsApp, que foi comprado pelo Facebook por 19 bilhões de dólares, tem várias falhas de segurança que os especialistas do setor dizem valer a pena revisar. Nenhuma das falhas encontradas esta semana pela empresa de segurança Praetorian são críticas - elas, na verdade, representam lapsos de melhores práticas para proteger aplicativos móveis.
"Na maior parte não são falhas de alto risco", disse Andrew Hoog, presidente-executivo da empresa de segurança viaForensics móvel. Os pontos fracos, bastante comuns em muitos aplicativos móveis, incluem não exigir o pinning, ou a checagem do certificado de segurança via SSL (Secure Sockets Layer) quando o WhatsApp estabelece a conexão entre o telefone celular e o servidor de back-end da empresa.
Esse processo adiciona um passo extra ao protocolo SSL normal, o que não é difícil de implementar, mas pode afetar os usuários em um ambiente como o do WhatsApp, que inclui 450 milhões de pessoas enviando mensagens por meio de vários dispositivos móveis diferentes, dizem especialistas.
Como a maioria das decisões de segurança, o impacto da medida sobre os usuários tem que ser avaliado contra o peso da ameaça - o que neste caso não é grave, por conta das dificuldades que um cracker teria na tentativa de interceptar o tráfego.
Para explorar a falta do SSL pinning, um cibercriminoso teria que estabelecer conexões independentes com capacidade de espionar o tráfego de mensagens e, em seguida, descobrir uma maneira de forçar o cliente baixar sua segurança embutida para conexões de Internet e obter um certificado malicioso para substituir o usado pelo WhatsApp.
É um longo caminho para o invasor, mas o processo é uma precaução que mais desenvolvedores de apps móveis estão tomando. "Pouquíssimos apps fizeram o procedimento no ano passado. Estamos vendo muitos deles fazendo isso hoje", disse Hoog. "É definitivamente uma das melhores práticas."
Outra boa prática não encontrada no WhatsApp permite que seus servidores de back-end usem esquemas de criptografia fracos de 40 bits e 56 bits. Em um ataque man-in-the-middle, um cracker poderia fazer o downgrade de comunicações com os esquemas mais baixos, o que possibilita um ataque de força bruta contra a criptografia.
"Gostaríamos de incentivá-los a se livrar das cifras de 40 bits e de 56 bits, mas essas são apenas mudanças que poderiam fazer do lado do servidor", disse Hoog. "Isso ajudaria a melhorar a segurança, mas pode perder algumas pessoas (usuários)."
Se o Facebook fará mudanças significativas na segurança do WhatsApp, isso continua a ser uma incógnita. A rede social tem muitas opções, considerando que segurança é um trabalho relativamente novo e em constante evolução quando se trata de desenvolvimento de aplicativos móveis.
"A mobilidade ainda é uma fronteira nova para muitos desenvolvedores", disse Paul Jauregui, vice-presidente de marketing da Praetorian. Em geral, faltar uma ou duas melhores práticas não representam um risco significativo, mas quanto mais erros, mais vulnerável se torna um aplicativo, dizem os especialistas.
E pensando em um ambiente que mais e mais smartphones se movem para dentro das corporações, seria recomendável para a empresa de Mark Zuckerberg pensar no assunto antes de ver seu aplicativo de US$ 19 bilhões bloqueado nas empresas.
Via: IDGNow
Nenhum comentário:
Postar um comentário