El Servicio de WhatsApp dirigido por el equipo de tan sólo 32 ingenieros, maneja más de 50 mil millones de mensajes al día, y aproximadamente 385 millones de usuarios activos. adquisición WhatsApp también ha sacado nuevas críticas sobre la seguridad de los miles de millones de mensajes entregados en la plataforma. Investigador de Seguridad en pretoriana laboratorios identificó varios problemas de seguridad relacionadas con SSL en aplicación WhatsApp utilizando Proyecto Neptuno , una plataforma de pruebas de seguridad de aplicaciones móviles. " comunicación WhatsApp entre el teléfono y nuestro servidor está totalmente encriptada. Nosotros no guardamos tu historial de chat en nuestros servidores. Una vez entregado con éxito a su teléfono, mensajes de chat se eliminan de nuestro sistema ". Compañía dijo en una entrada en el blog .
Pero los investigadores encontraron que WhatsApp es vulnerable al ataque de hombre en la mera mitaddebido a que la aplicación no ha aplicado el bloqueo de SSL y por lo tanto las credenciales del usuario pueden ser robados fácilmente. Pinning SSL impide que el usuario de la aplicación de ser víctima de un ataque realizado por el spoofing certificado SSL . Pinning SSL no resultará una gran solución no se valida correctamente.
"WhatsApp no realiza el bloqueo de SSL cuando se establece una conexión de confianza entre las aplicaciones móviles y servicios web back-end. Sin SSL fijando forzada, un atacante podría man-in-the-middle la conexión entre las aplicaciones móviles y servicios web back-end . Esto permitiría al atacante para oler las credenciales de usuario, identificadores de sesión u otra información sensible. "
WhatsApp está permitiendo que sus servidores de back-end para utilizar esquemas de 40 bits y 56 bits de cifrado débiles, que pueden ser fácilmente agrietados mediante ataques de fuerza bruta. ' Este es el tipo de cosas que la NSA le encantaría , "dijeron los investigadores. equipo de WhatsApp ha confirmado que están trabajando activamente en la adición de SSL fijar a su aplicación, pero aún eso no es suficiente para proteger nuestra privacidad. Facebook y WhatsApp aseguraron que nada va a cambiar después de la adquisición y WhatsApp seguirá funcionando como un servicio independiente, pero es que la declaración satisfecho? Puede ser que podemos confiar en Facebook, Google, WhatsApp .. Pero realmente no podemos confiar en que el gobierno de EE.UU. y las agencias de seguridad como la NSA, que no respetan nuestra privacidad y libertad de expresión. aplicaciones de mensajería móvil a menudo se utilizan para entregar sensibles datos o utilizado para las comunicaciones personales y empresariales, por lo que los datos almacenados por el proveedor de servicios deben ser cifrados de extremo a extremo, que todavía no está en el caso de WhatsApp. Pero hay muchas otras aplicaciones de chat gratuito, seguro y están disponibles como Telegram, Surespot, Threema, TextSecure, RedPhone etc, que se debe utilizar para mantener su información privada y segura, hasta que WhatsApp no adoptará cifrado de extremo a extremo.
No hay comentarios:
Publicar un comentario