Contas no aplicativo de autoridades como Sérgio Moro foram invadidas por conta de uma falha de segurança do Telegram
Recentemente, o aplicativo de mensagens Telegram mudou o procedimento para autorizar o acesso de novos dispositivos. Além disso, quem não tem a senha adicional para receber o código de ativação terá que esperar uma hora para solicitar o envio do código por SMS.
Como funciona na prática?
Agora, a pessoa que não configurou a verificação em duas etapas terá que usar o código enviado para um dispositivo já autorizado. Com isso, o aplicativo planeja proteger os usuários de invasões à caixa de mensagens — é importante lembrar que ocorreram invasões recentemente —, visto que a chamada telefônica com o código poderia ser gravada.
No Twitter, o Telegram anunciou as mudanças através de uma publicação, que dizia: “Desde a semana passada, você só poderá receber um código de login do Telegram via chamada se sua conta já estiver protegida por uma senha de Verificação em Duas Etapas.”
Por que essa mudança tão drástica do Telegram?
Tendo em vista o episódio em que autoridades brasileiras tiveram suas contas invadidas, como aconteceu com o ministro Sérgio Moro, o aplicativo decidiu reforçar a segurança.
Na época da invasão às caixas de mensagem, a concretização foi possível porque as operadoras de telefonia permitiam o acesso à caixa postal se o dono da linha discasse o próprio número. O hacker conseguiu falsificar a origem da chamada e, assim, simular uma ligação da vítima para ela mesma, obtendo o acesso à caixa postal.
Como isso foi feito?
A invasão se deu por conta de uma falha no Telegram, que, certamente, não estava preparado para receber esse tipo de ataque. O acesso ao aplicativo era liberado a partir do momento que o usuário digitasse o código de autenticação recebido por SMS ou chamada telefônica.
O Telegram envia o código por chamada telefônica, mas, uma vez que o hacker fazia ligações para a vítima a fim de manter sua linha ocupada, o envio do código era desviado para a caixa postal. Em meio a tudo isso, o hacker conseguiu digitar o código e acessar a conta da vítima.
O ataque agora é, portanto, inviável, caso a tentativa seja a partir do uso do código pela caixa postal, já que o usuário do Telegram pode configurar uma senha para a própria proteção.
Como funciona em outros serviços?
No Telegram, há diferenças em relação a outros serviços porque ele não exige a senha do usuário (apenas o código de verificação) e o acesso completo às mensagens anteriores. O hacker, portanto, teve pleno acesso às mensagens de antigamente.
Outros serviços, como o WhatsApp, Facebook, Skype e Instagram Direct, fazem diferente. No caso do WhatsApp, o aplicativo não exige senha, mas também não dá acesso às mensagens antigas. Os outros casos, no entanto, apresentam as mensagens antigas, mas exigem uma senha para acesso.
O modo como o aplicativo Telegram foi concebido permitiu que essa falha de segurança ocorresse e o ataque fosse concretizado, o que não aconteceria se ele tivesse sido feito com senha ou sem a disponibilização do histórico de mensagens.
