Como o App Falsificado do Signal, TeleMessage, Foi Hackeado em 20 Minutos

A empresa por trás do clone do Signal, usado por pelo menos um membro do governo Trump, foi invadida no início deste mês. O hacker afirma que conseguiu acesso devido a uma simples má configuração.

Durante uma recente reunião ministerial, o então assessor de segurança nacional do presidente Donald Trump, Mike Waltz, pareceu estar entediado. Aparentemente sem perceber o fotógrafo atrás dele, foi flagrado verificando clandestinamente suas mensagens do Signal debaixo da mesa.

Só que ele não estava usando o app oficial do Signal, amplamente considerado o padrão ouro em aplicativos de mensagens criptografadas. Na verdade, ele usava um clone do Signal chamado TeleMessage Signal, ou TM SGNL. Esse app, desenvolvido pela TeleMessage (recentemente adquirida pela Smarsh), funciona quase da mesma forma que o Signal, com a diferença de que arquiva cópias de todas as mensagens que passam por ele, destruindo qualquer garantia de segurança.

A exploração usada pelo hacker foi incrivelmente simples. Na época, decidiu-se não divulgar os detalhes porque seria muito fácil para outros replicarem o ataque. Desde então, a TeleMessage suspendeu temporariamente todos os serviços, razão pela qual a WIRED agora pode compartilhar exatamente como o hack aconteceu, sem colocar dados privados de ninguém em risco.

“Primeiro, acessei o painel de administração em secure.telemessage.com e percebi que eles estavam fazendo o hash das senhas com MD5 no lado do cliente, algo que anula os benefícios de segurança do hashing, já que o hash se torna efetivamente a própria senha”, disse o hacker. (Hashing é uma forma de obscurecer criptograficamente uma senha armazenada; e o MD5 é um algoritmo considerado fraco e ultrapassado.) O site Drop Site News posteriormente informou que esse painel de administração expôs endereços de e-mail, senhas, nomes de usuário e números de telefone ao público.

O fraco sistema de hash de senhas e o fato de o site da TeleMessage ter sido programado com JSP — uma tecnologia da década de 2000 para criação de apps web em Java — deram ao hacker “a impressão de que a segurança deles deveria ser fraca”. Com esperança de encontrar arquivos JSP vulneráveis, o hacker usou o feroxbuster, uma ferramenta que localiza rapidamente recursos acessíveis publicamente em um site, no domínio secure.telemessage.com.

O hacker também usou o feroxbuster em archive.telemessage.com, outro domínio da empresa, onde encontrou uma URL vulnerável terminando em /heapdump.

Ao acessar essa URL, o servidor respondeu com um heap dump Java — um arquivo de aproximadamente 150 MB contendo uma imagem da memória do servidor no momento do acesso.

O hacker afirmou que “já sabia por experiência anterior que heap dumps de servidores web podem conter os ‘corpos’ das requisições HTTP” e que isso poderia incluir credenciais de login dos usuários. E, no caso do TM SGNL, incluía. Ao baixar o heap dump e buscar por “password”, o hacker conseguiu visualizar nomes de usuário e senhas de usuários aleatórios.