Aplicación de mensajería segura Confide contiene múltiples fallas de seguridad

09/03/2017

Una aplicación de mensajería popular entre los asesores de la Casa Blanca tuvo varios problemas de seguridad que podrían haber resultado en que los datos de usuarios sean expuestos, según lo han anunciado investigadores de seguridad.

Según los investigadores de IOActive, Confide, un servicio de mensajería cifrada para Windows, Android y dispositivos de Apple, tenía "múltiples vulnerabilidades de seguridad de distinta severidad".

Los principales problemas descubiertos por los investigadores de IOActive incluyeron el sistema de notificaciones de la aplicación que no requiere un certificado de servidor SSL válido para comunicarse. Esto significaba que las sesiones eran vulnerables a ataques de hombre en el medio (MitM).

Los mensajes no eran cifrados cuando se enviaron, y los usuarios no recibieron ninguna indicación cuando un mensaje sin cifrar era enviado, informó IOActive. La aplicación también falló al usar el cifrado autenticado, lo que significa que los mensajes podrían haberse alterado durante el tránsito. También se detectó que no había ningún mecanismo de autenticación “fingerprint” de los participantes. Esto podría haber resultado en ataques MitM.

En términos de gestión de cuentas, se permitió a los usuarios elegir contraseñas cortas y fáciles de usar, y la aplicación no hizo nada para detener ataques de fuerza bruta. Aquí es donde un atacante intenta varias contraseñas diferentes para tener acceso a la cuenta; dado que no había aplicación de contraseñas fuertes, los atacantes de fuerza bruta probablemente tuvieran éxito con bastante rapidez.

Otra falla seria en la administración de cuentas de Confide significó que los investigadores pudieron establecer detalles de todos los usuarios de Confide, incluyendo nombres, números de teléfono y direcciones de correo electrónico.

Las vulnerabilidades podrían haber dado como resultado que un atacante accediera a la aplicación, en la cual podrían haberse suplantado a otro usuario secuestrando su sesión de cuenta o adivinando su contraseña. Además, los defectos podrían haber expuesto los detalles de contacto al atacante.

El atacante también podría haberse convertido en un intermediario en una conversación y descifrar mensajes y alterar el contenido de un mensaje o archivo adjunto en tránsito sin primero descifrarlo, explicó IOActive.

En sus pruebas, los investigadores pudieron ver detalles relacionados con 7,000 usuarios y encontraron evidencia de que entre 800,000 y un millón de usuarios estaban contenidos en la base de datos. El problema aquí era que la API de Confide parecía estar devolviendo el registro de la base de datos completo, esencialmente exponiendo todos los datos que Confide tenía de los usuarios.