211service.com
Error de usuario compromete muchas aplicaciones de comunicación cifrada
Las aplicaciones para teléfonos inteligentes y los teléfonos especiales que tienen como objetivo garantizar una comunicación segura a menudo pueden ver comprometida su seguridad por parte de los propios usuarios, según una investigación reciente.
Las aplicaciones, que incluyen RedPhone y Signal, pueden pedir a las personas que se llaman o se envían mensajes de texto que comparen verbalmente una cadena corta de palabras que ven en sus pantallas (a menudo denominada suma de verificación o cadena corta de autenticación) para asegurarse de que no se haya iniciado una nueva sesión de comunicación. no ha sido violada por un intruso. La idea es que si la seguridad de una llamada se ve comprometida, estas palabras no coincidirán.
Para probar qué tan bien funciona esto, los investigadores de la Universidad de Alabama en Birmingham realizaron un estudio que imitaba una aplicación criptográfica. Los investigadores hicieron que los participantes usaran un navegador web para hacer una llamada a un servidor en línea. Luego escucharon una secuencia aleatoria de dos o cuatro palabras y determinaron si coincidía con las palabras que vieron en la pantalla de la computadora frente a ellos. También se les pidió a los participantes que verificaran si la voz que escucharon era la misma que habían escuchado previamente al leer un cuento.
Los investigadores encontraron que los participantes del estudio con frecuencia aceptaban llamadas incluso si escuchaban la secuencia incorrecta de palabras y, a menudo, negaban las llamadas cuando la secuencia se pronunciaba correctamente. Más allá de eso, los investigadores dicen que el uso de una suma de verificación de cuatro palabras en lugar de una suma de verificación de dos palabras parecía disminuir la seguridad, aunque una suma de verificación más larga debería aumentar la seguridad exponencialmente.
Los investigadores presentaron su trabajo en un artículo este mes en una conferencia seguridad informatica in Los Angeles.
El estudio incluyó a 128 personas, y Maliheh Shirvanian , el autor principal del artículo y estudiante de posgrado en la Universidad de Alabama en Birmingham, dice que los participantes aceptaron una cadena incorrecta de dos palabras el 30 por ciento de las veces si provenía de una voz debidamente verificada como una que habían escuchado previamente. También rechazaron cadenas de dos palabras que se pronunciaron correctamente alrededor del 22 por ciento de las veces.
Además, los investigadores notaron que los participantes aceptaban cadenas de cuatro palabras que eran incorrectas aproximadamente el 40 por ciento de las veces y rechazaban las que eran correctas el 25 por ciento de las veces.
justin troutman , un criptógrafo que trabaja en la empresa emergente de búsqueda encriptada Kryptnostic y ha centrado su trabajo en la intersección de la criptografía y la experiencia del usuario, dice que una de las razones por las que las personas pueden aceptar sumas de verificación incorrectas es que consisten en palabras aleatorias, en lugar de una secuencia que verías en una frase. Los usuarios pueden desconectarse un poco al escucharlos, especialmente si reconocen la voz del hablante en el otro extremo. Con un mayor número de palabras, podrían dejar de lado las del medio, añade.
Con la esperanza de mejorar la seguridad, los investigadores dicen que ahora están trabajando en un nuevo estudio que considera cómo usar el software para comparar sumas de verificación, particularmente las más largas, al comienzo de una llamada segura. Tal como lo imaginan los investigadores, los participantes en una llamada dirían sus palabras en voz alta. Luego, el software transcribiría las palabras y compararía las dos transcripciones. De esta forma, los usuarios simplemente estarían validando que la voz del otro lado suena familiar, suponiendo que ya saben cómo suena la persona con la que están hablando (que, por supuesto, no siempre será el caso).