Investigadores de la Universidad de Alabama en Birmingham han desarrollado un método novedoso para proteger mejor a los Crypto Phones de las escuchas y otras formas de ataques de hombre en el medio.
Los Crypto Phones consisten en aplicaciones de teléfonos inteligentes, dispositivos móviles, computadoras personales o aplicaciones de Protocolo de Voz sobre Internet basadas en la web que usan cifrado de extremo a extremo para garantizar que solo el usuario y la persona con la que se comunican puedan leer lo que se envía.Para asegurar lo que se está comunicando, los Crypto Phones requieren que los usuarios realicen tareas de autenticación.
"La investigación ha demostrado que estas tareas son propensas a errores humanos, lo que hace que estas aplicaciones y dispositivos de VoIP sean muy vulnerables a los ataques intermedios y de espionaje, dijo Nitesh Saxena, profesora asociada de doctorado en el Colegio de la UAB deDepartamento de Artes y Ciencias de la Computación.
En un documento publicado en la Conferencia de la Asociación de Maquinaria de Computación sobre Seguridad de Computadoras y Comunicaciones en noviembre, Saxena y el estudiante de doctorado Maliheh Shirvanian presentan Crypto Phones de subtítulos para abordar los problemas en los Crypto Phones actualmente implementados.
Para garantizar que un atacante de hombre en el medio no interfiera con la transmisión del mensaje, los teléfonos criptográficos tradicionales confían en que los usuarios se comuniquen verbalmente y coincidan con una clave, llamada suma de comprobación, que se muestra en el dispositivo de cada usuarioLos usuarios deben verificar que la voz que anuncia la suma de verificación es, de hecho, la voz del otro usuario con el que desean comunicarse. Los Crypto Phones de subtítulos cerrados automatizan completamente la comparación de la suma de verificación.
"Los cripto teléfonos con subtítulos eliminan el elemento humano del proceso de comparación de suma de comprobación mediante la transcripción del habla", dijo Saxena.
Cuando un usuario anuncia la suma de verificación a la otra persona, CCCP transcribe automáticamente el código hablado y realiza una comparación de código o suma de verificación para el usuario. En un experimento en línea diseñado para imitar una llamada VoIP de la vida real, más de 1100 archivos de audio que contienen 4Sumas de verificación de 8 palabras y 8 palabras pronunciadas por una variedad de personas CCCP eliminó las posibilidades de que los datos fueran interceptados o capturados a través de un ataque de hombre en el medio debido a errores humanos o haciendo clic en la tarea y se realizó una detección completa de sumas de verificación que no coinciden..
"Nuestro trabajo muestra que al automatizar la verificación de comparación de suma de verificación, los usuarios no tienen la carga de tener que realizar una sola tarea de verificación, dijo Saxena. CCCP no solo elimina los errores humanos, sino que también facilita el uso de sumas de verificación más largas, lo que fortalece aún más la seguridad"Esto también puede ayudar a aumentar la conciencia de los usuarios humanos al detectar intentos maliciosos de imitación de voz por parte de atacantes".
En un estudio que analiza la seguridad y la usabilidad de las tareas de verificación de código centradas en el usuario, Saxena, Shirvanian y su colaborador Jesvin James George, descubrieron que la mayoría de los métodos de verificación de código de cifrado de extremo a extremo ofrecen poca seguridad y bajas calificaciones de experiencia del usuario. El estudiofue publicado en el Conferencia anual de aplicaciones de seguridad informática 2017 en diciembre
En un entorno de laboratorio monitoreado, se les pidió a 25 participantes que realizaran y reportaran el éxito o el fracaso de la verificación de códigos QR, imágenes y códigos numéricos mientras usaban las aplicaciones de comunicación basadas en Internet, Telegram, WhatsApp, Viber y Signal en un entorno cercano yuna configuración remota. Se descubrió que la seguridad y la usabilidad en la configuración de verificación remota era significativamente menor que en una configuración de verificación de código de proximidad debido a errores humanos.
Fuente de la historia :
Materiales proporcionado por Universidad de Alabama en Birmingham . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :