WhatsApp e Telegram: veja como é fácil invadir a sua conta de utilizador
O WhatsApp é o serviço de comunicações instantâneas mais popular do mundo, com o Telegram a afigurar-se como uma das principais alternativas. Ao propósito, ambas as plataformas têm reiterado a segurança das conversas face à encriptação, mas agora isso está em cheque devido às falhas no SS7.
Em dois novos vídeos, uma equipa de hackers leva-nos a questionar a nossa sensação de segurança.
O mesmo processo de encriptação avançada de ponta-a-ponta é igualmente empregue pelos serviços da Telegram. Na prática, isto significa que apenas quem enviou, e quem recebeu a mensagem, poderão aceder aos seus conteúdos e efetivamente ver o que nela consta. Pelo menos, esta é a teoria vigente.
Quão seguro é o WhatsApp? Ou o Telegram?
Esta mesma segurança foi amplamente divulgada por ambas as plataformas. Assim, durante muito tempo não existiam motivos de maior para nos preocuparmos. No entanto, temos agora um grupo de hackers que publicou dois vídeos gravosos e deveras preocupantes, tanto para quem usa o WhatsApp como o Telegram.
O grupo afirma, entre outras coisas, que consegue ter acesso a todos as conversas de qualquer pessoa. Seja ela utilizadora de um, ou de outro, serviço de mensagens instantâneas. Além disso, todo o processo, ou pelo menos os seus resultados, foram publicados na plataforma de vídeos da Google, o YouTube.
Sem se preocuparem muito com a "encriptação avançada" do WhatsApp ou do Telegram, os dois vídeos mostram um processo similar de "ataque". A exploração de uma falha nos padrões da comunicação via wireless e o número de telefone dos utilizadores. É, portanto, transversal a ambas as plataformas.
A exploração de uma falha de segurança no protocolo SS7
Mais concretamente, está aqui em questão uma vulnerabilidade que engana as operadoras. Trata-se de uma lacuna de segurança no protocolo SS7. Assim, utilizando o mesmo número de telefone do visado e potencial vítima, os hackers ganham acesso aos conteúdos da sua conta de Telegram ou WhatsApp.
Note-se que a conta de WhatsApp e Telegram de cada utilizador é identificada principalmente pelo seu número de telefone. Assim sendo, os hackers têm apenas que se fazer passar pelo número de telefone que pertence à conta que querem invadir. Por outras palavras, tudo o que precisam de saber é o seu número.
A partir daí, a equipa de hackers pode ter acesso à conta da outra pessoa. Isto significa que conseguem aceder a todos os conteúdos, e caso queiram, guardar todas as suas conversas. Algo que se torna perfeitamente claro em ambos os vídeos, afetando o WhatsApp e Telegram de igual modo.
Além disso, os hackers acabam também por receber as SMSs de confirmação da conta. Os códigos de verificação, únicos e enviados pelas plataformas para o dispositivo móvel do utilizador. Mais uma vez, fruto da mesma lacuna em que estes assumem o número de telefone da conta visada e potencial vítima.
Tudo o que os hackers necessitam é o número de telefone
É esta a conclusão a ser daqui retirada. Perante o atual status quo, este método exige apenas o seu número de contacto. A partir daí, podem até fazer um backup dos seus dados e conversações para a nuvem como forma fácil e eficaz de copiar e guardar todas as informações.
A única nota positiva é o facto de o WhatsApp e o Telegram alertarem quando uma conta está a ser utilizada num novo dispositivo. Por conseguinte, se receber um alerta que a sua conta está a ser utilizada em algum smartphone ou tablet que não conhece, não ignore o aviso.
As vulnerabilidades no SS7 permitem a interceptação de IMs também. Vejam esses vídeos (de 2016!!!) mostrando como seria no WhatsApp: https://t.co/eZfy7Wo0oN e também no Telegram: https://t.co/GpndcdEkU6
— Fabio Assolini (@assolini) June 6, 2019
Já de acordo com a BGR o problema reside no protocolo SS7 ou "Signaling System n.º7". É um sistema de rede global que está sob o controlo das empresas de telecomunicações. Algo que acaba por obstar a um rápido colmatar da lacuna e resolução eficaz do problema.
Mantém-se o risco retratado nos vídeos
Aliás, este é o padrão de redes utilizado em todo o mundo para ligar um dispositivo móvel a outro. Portanto, o acesso aos dados do WhatsApp e Telegram pode ser apenas um "mal menor" face à possibilidade de escutar as chamadas. Ou enviar mensagens em seu nome, entre outros cenários.
Entretanto, mantém-se este risco retratado em ambos os vídeos. Pelo menos até que as vulnerabilidades e falhas presentes no protocolo SS7 não sejam resolvidas. Não podemos deixar de salientar a gravidade desta lacuna, sobretudo para a interceção de comunicações a alto nível.
Por fim, face à gravidade do caso, acompanharemos atentamente os seus desenvolvimentos.
Leia mais...
Este artigo tem mais de um ano
Imagem: Wired
Fonte: BGR
Proponha uma correção, faça uma sugestão
Loading ...
Desde que use o número de telemóvel como método de autenticação, acabou-se a segurança.
+1
No telegram: Two-Step Verification …. e fica um pouco mais dificil 😀
Done 😉
Nesta última semana, aqui no Brasil, tem se falado muito na ação de um hacker que teve acesso e divulgou mensagens do Telegram trocadas entre membros do Ministério Público com um juiz, referentes a uma operação que investigou e prendeu políticos e empresários – dentre estes, o ex-presidente do Brasil, Luiz Inácio Lula da Silva.
Um porta-voz do Telegram se pronunciou sobre o caso em entrevista à BBC News Brasil: https://www.bbc.com/portuguese/brasil-48589211?ocid=socialflow_facebook&fbclid=IwAR0b7S15HBPGyxYJ-WN67tFnAatGwSYixF8EDsdTza8Vf1Ca6Orl2vmcgXc
Se fosse só no WhatsApp e no Telegram que se usurpam contas… Enfim,fico-me por aqui.Para bom entendedor meia palavra basta.
Onde anda o pessoal que afirma que o Telegram é mais seguro que o WhatsApp??
é mais seguro, continua é com falhas ; )
Tens a autenticação de 2 passos!
Nada é seguro, basta um bom programador para aquecer as plataformas todas.
Já vi por ai geradores de matrizes de bancos, agora vejam o perigo
Se usares o chat secreto com mensagem programadas para se autodestruir é.
Nao uso nenhum desses serviços, nao preciso, so usa mesmo gente infeliz, quando eu tenho na minha assinatura, chamadas e sms ilimitadas para todo o país e toda a Europa, para que vou eu a utilizar essa merda, pensem bem.
Gente infeliz que usa estas apps para mandar mensagens com caracteres ilimitados, partilhar fotos, mandar documentos, fazer chamadas de voz e vídeo, conversar em grupo… Ai Jorge, Jorge, confessa lá, qual foi a operadora que te pagou para andares aqui a promover as SMS do século passado? Ou tu é que tropeçaste sozinho em 1999? 😀
mms? email?
O senhor Jorge Gomes é um verdadeiro gênio, faz tudo “às claras” nada de segurança, penso que até tem a porta de casa sem fechadura assim como a do carro e as passwords todas escritas num papel à vista de toda a gente.
Todas as passwords dele: 12345678
Ou menos números, coloquei 8 caracteres, pois, há serviços, que exigem no mínimo esse tamanho.
Mas que treta de headline. A falha não é no WhatsApp ou Telegram. A falha é no protocolo SS7. O que o hacker fez foi o exploit a impersonificou um dos utilizares. Como o WhatsApp e Telegram usam o numero de tlm para “authenticação” tudo lixado. Importante e que parece ter ficado de fora, é que a sms foi enviada pro tlm “false”.
2FA no Telegram impede isso.
E as Secret chats ficam apenas no dispositivo que as iniciou, não sincroniza para outros dispositivos
Telegram sempre na vanguarda
Mas sim, autenticações com mensagens SMS são idiotice. Mas todos os bancos usam.
Deveriam usar pelo menos TOTP.
*várias coisas
Estava procurando algo sobre isso que falou de “2FA”.
O Telegram diz que autenticação de dois fatores resolve o problema de clonagem de linha. Você acha que não?
Titulo incorrecto,
mais a mais só é possível se os estiver ligado a uma rede wifi…
mas isto não pode espantar ninguém, vão sempre haver quebras de segurança.
Os vídeos do YouTube são de à 2 anos, de 2017. Destas vulnerabilidades.
Por isso há muito que digo que o único programa minimamente seguro é o Threema, e mesmo esse tem limites… se o aparelho estiver comprometido nem o Threema é seguro, mas se o aparelho for seguro o Threema mantêm um nível de segurança e privacidade maior… porque gera o seu próprio identificador na rede.
O e-mail e telefone podem ser colocados opcionalmente para ajudar a descobrir o identificador e verificar que é daquela pessoa/ empresa.
E sim, é tudo sempre encriptado ponto-a-ponto e autenticado. A autenticação necessita que o vosso smartphone/ tablet veja o código QR no smartphone / tablet da outra pessoa para confirmar o contacto como o correcto de forma absoluta… e sim, podem ver a impressão digital da chave da pessoa se quiserem mesmo ver manualmente se está correcto.
O único se não é que eles cobram um pequeno valor monetário uma única vez por conta… ou seja não é gratuito como o whatsapp e o telegram, e mesmo aquele pequeno valor só é pequeno porque eles rentabilizam a rede com várias opções para dar a terceiros acesso à rede para mandarem mensagens para os seus clientes que desejem receber as mensagens (ex.: recuperação de acesso; alarmes de falhas em sistemas críticos; receber promoções de empresas; confirmar operações online; bots interactivos; etc.)
Para isso então Brax.Me , it’s free.
As aplicações com Autenticação por número de telefone ou por e-mail com recuperação da password por SMS ou via e-mail significa que têm pouca segurança . Só que neste mundo dito “moderno” ninguém liga à segurança e muito menos quando falamos de privacidade, depois é o que se sabe , a vida privada e os ditos “segredos” expostos nas primeiras páginas dos jornais ou assaltos às contas bancárias, criptomoedas e cartões de crédito.
O Telegram pode ser usado da mesma forma que o WhatsApp, basta que se use a função CHAT SECRETO, a comunicação é ponto-a-ponto, criptografia diferente da normal no Telegram e é fácil configurar o timer de autodestruição das mensagens.
A única forma de proteger o Telegram ou o Signal é configurar a opção de segurança que exige uma password para instalar num novo aparelho. Não tendo essa opção activa é muito fácil roubar a identidade no Telegram ou no Signal em relação ao WhatsApp é o mesmo tem que activar a opção “dois passos” ou seja 2fa . Atenção por exemplo no Telegram nada de activar a recuperação da password via e-mail senão lá se vai a segurança , pois os e-mails não têm nenhuma segurança.
Só não percebi como lêem as conversas qie estão encriptadas com a chave que está no dispositivo da vítima…
Ou isto só lê as conversas novas?
Simples, clonam o seu número de telefone e recuperam a password por SMS , as mensagens estão normalmente guardadas num backup na cloud, por exemplo os android periodicamente fazem um backup para os serviços da cloud da Google o OneDrive. Como têm acesso ao seu número de telefone recuperam a password dessa serviço via SMS e fazem o “restore” repondo tudo existente no seu telefone. A segurança dos smartphones é quase zero.
Mais facil usando droidjack –> https://www.youtube.com/watch?v=HVvNy2cxUwo