O protocolo de criptografia personalizado do WeChat está sendo examinado

O pessoal do Citizen Lab da Universidade de Toronto da Universidade de Toronto investigou recentemente a criptografia do WeChat e encontrou algumas possíveis falhas de segurança. Com mais de um bilhão de usuários fazendo login mensalmente, o WeChat executa uma versão personalizada do protocolo Transport Layer Security (TLS) 1.3, que eles chamam de MMTLS.

A criptografia do WeChat é configurada em duas camadas:

1. Criptografia de camada de negócios: Criptografa o conteúdo de texto simples
2. MMTLS: criptografa ainda mais o conteúdo já criptografado antes da transmissão

Mesmo com essas duas camadas, os pesquisadores se depararam com alguns problemas:

• A criptografia da camada de negócios deixa metadados importantes desprotegidos, como IDs de usuário e URIs de solicitação.
• O MMTLS usa vetores de inicialização (IVs) determinísticos, o que vai contra as práticas criptográficas recomendadas.
• Não há sigilo de encaminhamento, o que é vital para manter as coisas seguras a longo prazo.

Antes de 2016, o WeChat usava apenas criptografia de camada de negócios para suas solicitações. A adição do MMTLS deveria corrigir o problema. Ainda assim, embora tenha tornado o aplicativo mais seguro ao manter a criptografia interna mais difícil de ser atacada, os pesquisadores dizem que ainda não está totalmente de acordo com os padrões criptográficos modernos para um aplicativo desse porte.

O relatório aponta para um problema maior no cenário tecnológico da China: os desenvolvedores geralmente criam seus próprios sistemas de criptografia em vez de usar protocolos conhecidos como TLS 1.3 ou QUIC, e esses sistemas desenvolvidos internamente geralmente são menos seguros.

O Citizen Lab acredita que a Tencent (empresa controladora do WeChat) deveria mudar para uma configuração TLS padrão ou usar uma combinação de TLS e QUIC para aumentar o nível de segurança.