Come può essere eseguito MITM in WebRTC?

1

Da quello che ho potuto dire, i certificati sono autofirmati. Quando A desidera chiamare B, dopo aver completato il trasferimento dei dati al server, inizia la comunicazione tra loro. I certificati sono autofirmati, quindi non c'è alcun problema nel loro passaggio. C'è qualche meccanismo per assicurarsi che se C è sullo stesso wifi di B, perché non potrebbe inviare a A e B il certificato di C e intercettare il certificato di A e B, quindi delegare l'intera conversazione?

C'è un hash che viene inviato da A a B e viceversa tramite il server di autenticazione che può quindi essere convalidato rispetto ai certificati?

WebRTC

    
posta ben f 30.03.2015 - 11:34
fonte

2 risposte

3

L'impronta digitale del certificato autofirmato DTLS viene scambiata attraverso il canale di segnalazione con l'offerta-SDP e answer-SDP.

Durante l'handshake DTLS viene stabilita una chiave di sessione e l'impronta digitale dei certificati endpoint viene confrontata con l'impronta digitale scambiata nella fase di segnalazione. Pertanto, il certificato non può essere sostituito senza che gli endpoint si accorgano.

Il server di segnalazione deve essere considerato affidabile.

    
risposta data 10.06.2015 - 21:13
fonte
0

@Andis answer lo spiega abbastanza bene e suggerisce che alla fine il server di segnalazione potrebbe MITM la connessione. Questo è vero e un attacco pratico con un server di segnalazione compromesso è già riuscito .

Tuttavia vorrei aggiungere un'eccezione: se gli utenti utilizzano un servizio online che può autenticarli, le connessioni WebRTC possono essere rese resistenti al MITM. Questi servizi online possono includere OpenID, BrowserID, Federated GoogleLogin, Facebook Connect, OAuth, WebFinger, DNSSEC o chat di Facebook (sono tutti esempi menzionati nelle specifiche) e in WebRTC possono agire come "Provider di identità". Se gli utenti sono autenticati con questi provider di identità, possono essere certi che il server di segnalazione non è la loro connessione MITM, perché "Identity Provider" compatibili collegano l'impronta digitale delle chiavi dell'utente all'utente.

    
risposta data 16.11.2015 - 23:16
fonte

Leggi altre domande sui tag