El protocolo de cifrado personalizado de WeChat, a examen

El Laboratorio Ciudadano de la Universidad de Toronto investigaron recientemente el cifrado de WeChat y encontraron algunos posibles fallos de seguridad. Con más de mil millones de usuarios que se conectan mensualmente, WeChat ejecuta una versión personalizada del protocolo Transport Layer Security (TLS) 1.3, al que denominan MMTLS.

El cifrado de WeChat está configurado en dos capas:

1. Cifrado de capa comercial: Cifra el contenido en texto plano
2. MMTLS: Cifra aún más el contenido ya cifrado antes de la transmisión

Incluso con estas dos capas, los investigadores se encontraron con algunos problemas:

• El cifrado de la capa comercial deja desprotegidos metadatos importantes, como los ID de usuario y los URI de solicitud.
• MMTLS utiliza vectores de inicialización (IV) deterministas, lo que va en contra de las prácticas criptográficas recomendadas.
• No hay forward secrecy, que es vital para mantener la seguridad a largo plazo.

Antes de 2016, WeChat sólo utilizaba el cifrado de capa empresarial para sus solicitudes. Se suponía que añadir MMTLS arreglaría las cosas. Aún así, aunque hizo que la aplicación fuera más segura al mantener el cifrado interno más difícil de atacar, los investigadores dicen que todavía no está totalmente a la altura de los estándares criptográficos modernos para una aplicación de este tamaño.

El informe señala un problema mayor en la escena tecnológica china: los desarrolladores suelen construir sus propios sistemas de cifrado en lugar de utilizar protocolos conocidos como TLS 1.3 o QUIC, y estos sistemas de cosecha propia suelen ser menos seguros.

Citizen Lab cree que Tencent (la empresa matriz de WeChat) debería pasar a una configuración TLS estándar o utilizar un combo de TLS y QUIC para aumentar su seguridad.