Un fallo de seguridad en TextSecure pone en duda su privacidad

Escrito por Adrián Crespo
Seguridad
0

Una auditoria de cada una de las aplicaciones que utilizamos a diario podría desvelar datos bastante curiosos, viéndose reflejados sobre todo en forma de problemas de seguridad. Un grupo de investigadores ha realizado una sobre la aplicación de mensajería TextSecure (a priori la alternativa más segura que existe a Whatsapp) encontrándose con un problema de seguridad bastante importante de cara a la privacidad de los mensajes de los usuarios.

Pero antes de meternos en detalles con el fallo de seguridad encontrado, vamos a explicar lo más fundamental de la aplicación: su cifrado. Esta utiliza un sistema de cifrado bastante complejo y heredado en parte del sistema operativo para móviles Android CyanogenMod.

Teniendo en cuenta esto, los expertos en seguridad que han realizado la auditoria se han encontrado con un fallo en el sistema de claves compartidas que utiliza la aplicación y desconocen si este se hereda de la versión del sistema operativo móvil mencionada con anterioridad.

Resumiendo, la modificación de la clave de uno de los extremos por otra correspondiente a una conversación con otro usuario podría provocar que este pudiese tener acceso a la primera conversación al completo.

TextSecure no comprueba las claves compartidas de una conversación

textsecure fallo de seguridad

Lo normal en estos casos es que para una conversación se genere una clave única, evitando de esta forma que una tercera persona pueda acceder a esta con cualquier otra clave. Sin embargo, el sistema no verifica las claves de los extremos y en un momento puntual la seguridad de la comunicación entre dos puntos A y B se puede ver rota. Partiendo de que A y B están manteniendo una conversación con una clave X y que A y C están manteniendo otra separada. Si el usuario A edita el fichero adecuado e introduce la clave que posee la conversación entre él y el usuario C en la conversación del usuario B el tercero podrá acceder a toda la conversación al completo.

Para obtener mucha más información se puede ver la demostración al completo en este enlace.

Fuente | The Hacker News