Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Analisando o impacto da vulnerabilidade FakesApp e decifrando o tráfego do WhatsApp Web com “WhatsApp Decoder” (Parte 2/2)ElevenPaths 1 marzo, 2019 Retomamos o post anterior, no qual realizamos a introdução às vulnerabilidades FakesApp publicadas pelos pesquisadores da Checkpoint, aprendemos como instalar a extensão WhatsApp Decoder e a decifrar o tráfego do WhatsApp. Assim, para replicar o ataque deveríamos seguir os seguintes passos: mudar o texto entrante da mensagem pelo desejado, modificar vários parâmetros, criptografar a mensagem nova, copiá-la em extensão base64, decodifica-la e, por último, enviá-la. Vejamos o este processo passo-a-passo: a seguinte mensagem pertence à uma conversa que eu tive com meu pai durante o momento em que preparei as capturas de tela para esse post: Para testar a vulnerabilidade, substituo a mensagem para indicar que o produto que «menos» é vendido (em vez do «mais») é a telefonia móvel: Segundo os pesquisadores, antes de criptografar a mensagem é necessário modificar o valor ID a qualquer outro que não exista na base de dados, assim como o messageTimeStamp. Feito isso, basta clicar no botão “Encrypt” e copia os valores na janela “Intercept”, onde temos a mensagem original esperando para ser trocada pelo conteúdo falso. Uma vez que tenhamos a mensagem modificada em base64, basta copiá-la na janela “Intercept”, pressionar as teclas “CTRL-SHIFT-B” para decodificá-la do formato base64. Agora basta clicar no botão “Forward” para enviar a mensagem modificada para a seção do WhatsApp Web. Cabe notar que há algumas ocasiões que, apesar de seguir os passos indicados, a mensagem modificada não é visualizada na seção web. Como podemos observar, a mensagem modificada não chega a ser visualizada na conversa em grupo do WhatsApp Web, porque não foi possível replicar o ataque. Ainda assim, conseguimos reproduzi-lo em outras ocasiões, tal como podemos ver na captura de tela seguinte, durante um teste em que conseguimos modificar a mensagem enviada pelo meu amigo David com emojis, substituindo-os por texto. Como mostrado na imagem, a mensagem inclui o texto “guapo” que ele jamais enviou. Foi a segunda mensagem com emojis que eu modifiquei na minha seção do WhatsApp Web para realizar o processo de troca de conteúdo, veja abaixo. Nesse ponto, bastou responder na seção do WhatsApp Web para tanto ele quanto eu víssemos o texto na citação, conseguindo reproduzir palavras que ele não havia escrito e replicar assim o FakesApp. Conclusões Finais Em alguns casos não é possível reproduzir em tempo real o ataque FakesApp, se trata de um processo relativamente complexo que deve ser executado em um curto espaço de tempo. Ainda assim, é interessante conhecer a anatomia desse ataque para poder utilizar a extensão para decifrar mensagens e analisar o protocolo de comunicação usado pelo WhatsApp. Além do tráfego criptografado, pudemos perceber que são transmitidos alguns pacotes de texto aberto, que não tem a ver com as conversas em si, mas com signaling. A partir do conteúdo visualizado na imagem anterior, podemos deduzir que o usuário está mantendo uma conversão com o contato identificado pelo parâmetro “id” e que esse contato está atualmente no estado “composing”, que é mostrado para os usuários como “escrevendo…” Isso pode abrir porta para um atacante obter informação sobre as pessoas que estariam falando com o usuário comprometido, incluindo números de telefone e outra informação que pudesse ser extraída desses pacotes não criptografados. Tudo isso, claro, depende da realização de um ataque man in the middle que permita a intercepção HTTPS. Como vimos, as vulnerabilidades FakesApp não tem impacto sobre a confidencialidade das conversas¸ ainda que se possa gerar algum caos em cenários determinados, sobretudo se a tática combinar engenharia social. Sua exploração requer algumas condições específicas e as mensagens manipuladas devem ser interceptadas em tempo real. Ainda assim, não deixa de ser um trabalho de investigação interessante, que pode ajudar a aprofunda o conhecimento dos detalhes técnicos sobre um dos sistemas de mensagens instantâneas mais utilizados no planeta. Você pode também estar interessado em: » Analisando o impacto da vulnerabilidade FakesApp e decifrando o tráfego do WhatsApp Web com “WhatsApp Decoder” (Parte 1/2) Deepak Daswani Chief Security Ambassador de ElevenPaths @dipudaswani deepak.daswani@global.11paths.com Analisando o impacto da vulnerabilidade FakesApp e decifrando o tráfego do WhatsApp Web com “WhatsApp Decoder” (Parte 1/2)Vivo apresenta a ElevenPaths, unidade de cibersegurança do Grupo Telefónica, e amplia sua atuação no mercado corporativo brasileiro
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
