Il protocollo di crittografia personalizzato di WeChat è sotto esame

Il Citizen Lab dell'Università di Toronto ha recentemente analizzato la crittografia di WeChat e ha trovato alcune possibili falle nella sicurezza. Con oltre un miliardo di utenti che si collegano mensilmente, WeChat utilizza una versione personalizzata del protocollo Transport Layer Security (TLS) 1.3, che chiama MMTLS.

La crittografia di WeChat è impostata su due livelli:

1. Crittografia di livello business: Crittografa il contenuto in chiaro
2. MMTLS: cripta ulteriormente il contenuto già crittografato prima della trasmissione

Anche con questi due livelli, i ricercatori hanno riscontrato alcuni problemi:

• La crittografia del livello business lascia non protetti i metadati importanti, come gli ID utente e gli URI delle richieste.
• MMTLS utilizza vettori di inizializzazione (IV) deterministici, il che va contro le pratiche crittografiche raccomandate.
• Non c'è segretezza in avanti, che è fondamentale per mantenere la sicurezza a lungo termine.

Prima del 2016, WeChat utilizzava solo la crittografia di livello business per le sue richieste. L'aggiunta di MMTLS avrebbe dovuto sistemare le cose. Tuttavia, anche se ha reso l'app più sicura mantenendo la crittografia interna più difficile da attaccare, i ricercatori affermano che non è ancora del tutto all'altezza degli standard crittografici moderni per un'app di queste dimensioni.

Il rapporto evidenzia un problema più grande nella scena tecnologica cinese: gli sviluppatori spesso costruiscono i propri sistemi di crittografia invece di utilizzare protocolli noti come TLS 1.3 o QUIC, e questi sistemi fatti in casa sono solitamente meno sicuri.

Citizen Lab ritiene che Tencent (la società madre di WeChat) dovrebbe passare a una configurazione TLS standard o utilizzare una combinazione di TLS e QUIC per aumentare la sicurezza.