La mensajería móvil instantánea se ha convertido en unos de los servicios estrella para los usuarios; de hecho, se ha convertido en un segmento bastante saturado donde WhatsApp se ha hecho el indiscutible rey y donde otros servicios intentan hacerse un hueco ofreciendo apuestas diferenciales. En Estados Unidos, la fórmula del "quemar después de leer" de Snapchat ha causado furor y, en estos días, se ha hablado mucho de Telegram y su combinación de la fórmula de Snapchat con su foco en la seguridad.
Mucha gente piensa que Snapchat es un servicio seguro por el mero hecho de que los mensajes se borrar tras leerlos pero, durante el pasado mes de enero, dos expertos en seguridad españoles mostraron en la conferencia Shmoocon en Washington que este servicio presenta vulnerabilidades que permitirían lanzar ataques DoS contra usuarios del servicio y dejar su dispositivo móvil totalmente bloqueado.
Los responsables de este hallazgo han sido Jaime Sánchez, que trabaja como consultor de seguridad en el Centro de Operaciones de Seguridad (SOC) de Telefónica (además de editar el blog Seguridad Ofensiva, y Pablo San Emeterio, que trabaja en el Departamento I+D de Optenet; dos expertos en seguridad que han estado trabajando en el análisis de distintos servicios de mensajería instantánea para evaluar la seguridad de los mismos y los riesgos que presentan para los usuarios.
Fruto de este trabajo de investigación, analizaron el funcionamiento de Snapchat y dieron con una vulnerabilidad que les permitió crear un "cliente especial" del servicio con el que enviar, de manera masiva, mensajes hacia un usuario concreto; un aluvión de mensajes capaz de desbordar un smartphone como el iPhone y hacer que se reinicie. Para entender mejor esta vulnerabilidad y su funcionamiento, nos hemos puesto en contacto con Jaime Sánchez y hemos estado hablando de Snapchat y también de la seguridad de otros servicios de mensajería instantánea.
ALT1040 - ¿Cómo encontrásteis esta vulnerabilidad? ¿Cómo empezó todo?
Jaime Sánchez - Todo empezó con nuestro trabajo de investigación sobre vulnerabilidades en plataformas de mensajería instantánea. Analizamos e interceptamos el envío de mensajes de Snapchat y nos dimos cuenta que, con cada envío de mensaje, se genera un token que, teóricamente, es único por cada mensaje. Lo sorprendente de este token que, tras ser utilizado, no caduca y, por tanto, es posible seguir usándolo.
Nosotros estamos usando un token que generamos a principios de enero para la conferencia y aunque se genera un nuevo token cada vez que realizas una acción en la aplicación, es indiferente. Capturas uno y lo puedes volver a usar para enviar miles de peticiones a un usuario y hacer que su terminal se quede colgado.
ALT1040 - ¿Habéis medido la caducidad del token?
Jaime Sánchez - Por lo que hemos visto, el token no llega a caducar nunca. Snapchat solamente comprueba que ese token es válido y corresponde a un usuario que esté validado en el servicio. Así de simple.
Con una vulnerabilidad así, cualquier persona podría enviar mensajes de spam a toda la base de datos de usuarios que quedaron expuestos el mes pasado y también se podría atacar a un usuario concreto y dejar su móvil colgado continuamente con un aluvión de mensajes.
ALT1040 - ¿Y habéis comentado todo esto con Snapchat? Desde el L.A. Times se han puesto en contacto con Snapchat y han contestado que enviéis un correo electrónico
Jaime Sánchez - Por ahora no se ha puesto nadie en contacto con nosotros y, la verdad, después de cómo han tratado a la gente de Gibson Security después de reportarles 2 veces las primeras vulnerabilidades del servicio, hemos decidido no reportarlo. Snapchat no muestra respeto a los que indentificamos este tipo de vulnerabilidades para que las solventen, no reconocen los problemas y tampoco lo agradecen.
Con respecto al correo electrónico, creemos que lo más apropiado sería justo lo contrario, deberían enviarnos ellos el e-mail. Es una buena muestra de la actitud de Snapchat ante este tipo de situaciones.
ALT1040 - ¿Crees que solventarán esta vulnerabilidad sin decir nada?
Jaime Sánchez - Seguramente solventen el fallo sin comentar nada al respecto. Ya arreglaron el hecho de que pudiésemos enviar mensajes desde su cuenta sin tan siquiera tener que usar un token. Snapchat tampoco ha reconocido cómo ha subido el spam en el servicio a raíz de la publicación de las cuentas de más de 4 millones de usuarios del servicio; creo que queda muy claro que no se toman las oportunas molestias en asegurar su plataforma.
Sí, se genera un nuevo token^con cada petición, tienen el mecanismo pero no lo están utilizando. Ofrecen una falsa sensación de seguridad. Es extraño.
ALT1040 - ¿Realmente existe el "quemar después de leer"? ¿Existe la autodestrucción de mensajes?
Jaime Sánchez - Teniendo en cuenta toda la información que ya se ha publicado, que las fotos se pueden recuperar de los terminales y que "dicen" implementar medidas de seguridad que no funcionan realmente, considero poco probable que los mensajes de Snapchat sean efímeros. ¿Acaso los mensajes se borran de manera segura?
ALT1040 - ¿Qué opinas del segmento de la mensajería móvil instantánea? ¿Crees que la gente se expone demasiado intercambiando información a través de WhatsApp y otros servicios similares? ¿Son conscientes de que quizás el canal no sea seguro?
Jaime Sánchez - Bueno, nuestra investigación comenzó, precisamente, sobre WhatsApp porque pensamos que estos servicios no ponen los medios suficientes para garantizar la confidencialidad de las conversaciones. WhatsApp, por ejemplo, ha pasado de enviar el texto en claro, a cifrarlo con un MD5 basado en el IMEI y luego a usar XOR de la forma más insegura conocida.
Los usuarios no son conscientes de lo inseguros que son estos canales pero luego terminan haciendo mención al tópico de que "no tienen nada que esconder" o "me da igual que me espíen". Creo que es importante ser conscientes que estamos luchando por recuperar una libertad y una privacidad que, seguramente, en unos años no vamos a ser capaces de tener.
ALT1040 - Quizás Snowden nos haya hecho ver Internet de una manera distinta y, desde entonces, le damos más importancia al requisito de la seguridad. ¿Qué opinas del boom de Telegram?
Jaime Sánchez - Es muy probable que el boom de Telegram esté relacionado con eso; creo que han sabido aprovechar muy bien el momento para poner en marcha el servicio y publicar su aplicación. No todo lo que se publica o se vende como "seguro" termina siéndolo realmente, las cosas no son siempre tan ciertas como la gente cree. Aún falta mucho camino por recorrer para afirmar que Telegram es un servicio seguro. Creo que, ahora mismo, están en una campaña de marketing muy agresiva y habría que ver las cosas más detenidamente.
La gente pensaba que Snapchat era muy seguro y se enviaban fotos comprometedoras; quizás sea un problema que afecte más a las nuevas generaciones que confían demasiado en estos servicios y tienen un concepto sobre la segurida y la privacidad muy distinto al que teníamos hace unos años.
La tecnología ha cambiado muy rápido el mundo tal cual lo conocemos, no somos conscientes del efecto que ello conlleva sobre el resto de lo que nos rodea, incluido nuestros derechos y nuestra privacidad.
ALT1040 - ¿Crees que Open Whispersystems, a través de CyanogenMod, podrán ofrecernos un sistema de mensajería segura o, al menos, algo más fiable de lo que podemos encontrar actualmente?
Jaime Sánchez - Creo que es un apuesta bastante fuerte, tienen un gran equipo con mucha experiencia y conocimiento a sus espaldas. Es un proyecto que seguiré de cerca porque, además, la integración en CyanogenMod lo hará llegar a un público objetivo mucho mayor.
ALT1040 - ¿Qué es lo próximo que tenéis entre manos? ¿En qué estáis trabajando ahora?
Jaime Sánchez - En marzo participaremos en una conferencia en Madrid, Rootedcon, donde presentaremos una graves vulnerabilidades en WhatsApp como un crash remoto que sí han corregido rápidamente y también cómo sería posible modificar los mensajes que recibimos en WhatsApp y aparentar que son de otro usuario.
Aunque pueda parecer que esto no es gran cosa, poder suplantar a un usuario tiene consecuencias muy graves, al menos desde una perspectiva legal. Imagina que un mensaje de WhatsApp sea aceptado como prueba en un caso de amenazas o malos tratos, un forense que inspeccione tu smartphone no verá ningún tipo de alteración en tu dispositivo y dado que WhatsApp dice no almacenar tus mensajes, el escenario se torna bastante oscuro.
Ya tuvimos nuestro primer encuentro con WhatsApp cuando desarrollamos WhatsApp Privacy Guard, un proyecto que tuvo bastante repercusión y, desde entonces, hemos reportado a este servicio algunas vulnerabilidades que hemos detectado bastante críticas. Se las reportamos, no nos contestaron nada pero terminaron solventándolas; así que con ellos hemos tomado la misma actitud que con Snapchat.
No trabajamos para estos servicios y, con esta actitud, solamente se perjudican a ellos mismos.
ALT1040 - ¿Cómo se toman los servicios este tipo de cosas? ¿Son todos siempre tan mezquinos?
Jaime Sánchez - Hay empresas grandes que se toman muy bien que les avises. Muchas tienen programas de bug bounty, otras tienen un hall of fame, otras se preocupan y se molestan en mantenerte al tanto, te consultan y están en contacto contigo hasta que solventan el problema. Sin embargo, otras empresas no responden e incluso te llegan a amenazar con acciones legales. Hay de todo.
En España, a veces encuentras errores críticos en sitios importantes y los reporto a través de la Guardia Civil porque considero que es ético hacerlo y también puedo evitar que me perjudique.