Resposta ‘condescendente’ à divulgação de vulnerabilidade irrita a comunidade infosec
Pesquisadores de segurança defenderam acadêmicos que descobriram várias falhas graves de segurança no Threema após críticas de seu trabalho por desenvolvedores do aplicativo de mensagens criptografadas.
Uma equipe de cientistas da computação da universidade suíça ETH Zurich encontrou um total de sete vulnerabilidades no aplicativo de mensagens seguro Threema, que possui 10 milhões de usuários, incluindo o governo suíço e o atual chanceler da Alemanha, Olaf Scholz.
modelos de ameaças
A equipe da ETH – composta pelos professores Kenneth Paterson, Matteo Scarlata e Kien Tuong Truong – descobriu que o Threema não apresenta ‘segurança direta’ nem segurança pós-compromisso.
A segurança avançada significa que, mesmo após um comprometimento, um invasor não conseguirá descriptografar os dados criptografados antes do hack. A segurança pós-compromisso envolve a configuração de tal arquitetura para que a segurança possa ser restaurada após um ataque, desde que qualquer invasor seja eliminado do processo de troca de comunicação.
As sete vulnerabilidades descobertas caíram em três modelos de ameaças distintos: invasor de rede, servidor comprometido e acesso forçado.
Rolando sua própria criptografia
Surgiram problemas devido ao uso de tecnologias de criptografia sob medida pela Threema. Por exemplo, o protocolo cliente-para-servidor (C2S) personalizado do serviço suíço apresenta chaves efêmeras. Isso deveria, em teoria, tornar as sessões independentes umas das outras.
No entanto, os pesquisadores da ETH descobriram que comprometer a chave efêmera de um único cliente permitia que um invasor representasse esse cliente indefinidamente.
NÃO PERCA A chance de ganhar brindes dizendo-nos como melhorar o The Daily Swig
Os pesquisadores divulgaram essa falha e outras seis vulnerabilidades aos desenvolvedores do Threema no início de outubro do ano passado. Modificações foram feitas antes que a Threema lançasse um novo protocolo, Ibex, para mitigar ainda mais os ataques no final de novembro de 2022.
Os pesquisadores adiaram a publicação de suas descobertas até segunda-feira, 9 de janeiro, conforme combinado.
‘Exagerar irremediavelmente’
Threema decidiu então desrespeitar os pesquisadores em resposta à publicação de suas descobertas, ganhando a ira da comunidade infosec mais ampla no processo.
“Há um novo artigo sobre o antigo protocolo de comunicação da Threema”, escreveu o fornecedor em sua conta oficial no Twitter. “Aparentemente, a academia de hoje força os pesquisadores e até mesmo os estudantes a exagerar irremediavelmente em suas descobertas. Aqui está uma conversa real.
Em uma declaração associada, Threema reconheceu que “embora algumas das descobertas apresentadas no artigo possam ser interessantes do ponto de vista teórico, nenhuma delas teve qualquer impacto considerável no mundo real”.
‘Condescendente’
O pesquisador de segurança suíço Christian Folini descreveu a resposta de Threema como “condescendente”.
“Não é seu trabalho julgar a qualidade da pesquisa de segurança. Seu trabalho é agir em conjunto, apresentar-nos as correções e deixar a avaliação para terceiros”, disse Folini no Twitter.
O professor Alan Woodward, cientista da computação da Universidade de Surrey, concordou que Threema atacou desnecessariamente os pesquisadores pelo que caracterizou como críticas construtivas ao aplicativo de mensagens criptografadas.
Acompanhe as últimas notícias de segurança de criptografia
“O tom deles [de Threema] foi bastante desdenhoso, afirmando que era uma versão mais antiga e eles corrigiram todos os problemas identificados, mas Threema foi capaz de dizer isso por causa do trabalho e da divulgação responsável”, disse o professor Woodward ao The Daily Swig.
“Não posso deixar de pensar que os pesquisadores podem estar menos inclinados a cooperar de forma tão responsável se os desenvolvedores de aplicativos adotarem essa atitude”.
Sobre a substância dos problemas de segurança identificados, o professor Woodward disse ao The Daily Swig que os problemas “parecem surgir porque eles [Threema] lançaram seu próprio protocolo e estavam trabalhando com algumas limitações da biblioteca escolhida, Nacl”.
O Daily Swig convidou a equipe da ETH para comentar as falhas que descobriram e o processo de divulgação. Nenhuma resposta ainda, mas atualizaremos esta história quando mais informações surgirem.
O professor Kenneth Paterson falou publicamente sobre sua decepção com a resposta de Threema.
“Depois de um envolvimento construtivo com o ThreemaApp durante a divulgação responsável, isso é inesperadamente desdenhoso. Quebramos o protocolo de seis maneiras. Eles o atualizaram, graças ao nosso trabalho”, disse o professor Paterson no Twitter.
RELACIONADO Boffins reacende o conceito criptográfico de programa único
Fonte