O WhatsApp é o serviço de comunicações instantâneas mais popular do mundo, com o Telegram a afigurar-se como uma das principais alternativas. Ao propósito, ambas as plataformas têm reiterado a segurança das conversas face à encriptação, mas agora isso está em cheque devido às falhas no SS7.
Em dois novos vídeos, uma equipa de hackers leva-nos a questionar a nossa sensação de segurança.
O mesmo processo de encriptação avançada de ponta-a-ponta é igualmente empregue pelos serviços da Telegram. Na prática, isto significa que apenas quem enviou, e quem recebeu a mensagem, poderão aceder aos seus conteúdos e efetivamente ver o que nela consta. Pelo menos, esta é a teoria vigente.
Quão seguro é o WhatsApp? Ou o Telegram?
Esta mesma segurança foi amplamente divulgada por ambas as plataformas. Assim, durante muito tempo não existiam motivos de maior para nos preocuparmos. No entanto, temos agora um grupo de hackers que publicou dois vídeos gravosos e deveras preocupantes, tanto para quem usa o WhatsApp como o Telegram.
O grupo afirma, entre outras coisas, que consegue ter acesso a todos as conversas de qualquer pessoa. Seja ela utilizadora de um, ou de outro, serviço de mensagens instantâneas. Além disso, todo o processo, ou pelo menos os seus resultados, foram publicados na plataforma de vídeos da Google, o YouTube.
Sem se preocuparem muito com a “encriptação avançada” do WhatsApp ou do Telegram, os dois vídeos mostram um processo similar de “ataque”. A exploração de uma falha nos padrões da comunicação via wireless e o número de telefone dos utilizadores. É, portanto, transversal a ambas as plataformas.
A exploração de uma falha de segurança no protocolo SS7
Mais concretamente, está aqui em questão uma vulnerabilidade que engana as operadoras. Trata-se de uma lacuna de segurança no protocolo SS7. Assim, utilizando o mesmo número de telefone do visado e potencial vítima, os hackers ganham acesso aos conteúdos da sua conta de Telegram ou WhatsApp.
Note-se que a conta de WhatsApp e Telegram de cada utilizador é identificada principalmente pelo seu número de telefone. Assim sendo, os hackers têm apenas que se fazer passar pelo número de telefone que pertence à conta que querem invadir. Por outras palavras, tudo o que precisam de saber é o seu número.
A partir daí, a equipa de hackers pode ter acesso à conta da outra pessoa. Isto significa que conseguem aceder a todos os conteúdos, e caso queiram, guardar todas as suas conversas. Algo que se torna perfeitamente claro em ambos os vídeos, afetando o WhatsApp e Telegram de igual modo.
Além disso, os hackers acabam também por receber as SMSs de confirmação da conta. Os códigos de verificação, únicos e enviados pelas plataformas para o dispositivo móvel do utilizador. Mais uma vez, fruto da mesma lacuna em que estes assumem o número de telefone da conta visada e potencial vítima.
Tudo o que os hackers necessitam é o número de telefone
É esta a conclusão a ser daqui retirada. Perante o atual status quo, este método exige apenas o seu número de contacto. A partir daí, podem até fazer um backup dos seus dados e conversações para a nuvem como forma fácil e eficaz de copiar e guardar todas as informações.
A única nota positiva é o facto de o WhatsApp e o Telegram alertarem quando uma conta está a ser utilizada num novo dispositivo. Por conseguinte, se receber um alerta que a sua conta está a ser utilizada em algum smartphone ou tablet que não conhece, não ignore o aviso.
As vulnerabilidades no SS7 permitem a interceptação de IMs também. Vejam esses vídeos (de 2016!!!) mostrando como seria no WhatsApp: https://t.co/eZfy7Wo0oN e também no Telegram: https://t.co/GpndcdEkU6
— Fabio Assolini (@assolini) June 6, 2019
Já de acordo com a BGR o problema reside no protocolo SS7 ou “Signaling System n.º7″. É um sistema de rede global que está sob o controlo das empresas de telecomunicações. Algo que acaba por obstar a um rápido colmatar da lacuna e resolução eficaz do problema.
Mantém-se o risco retratado nos vídeos
Aliás, este é o padrão de redes utilizado em todo o mundo para ligar um dispositivo móvel a outro. Portanto, o acesso aos dados do WhatsApp e Telegram pode ser apenas um “mal menor” face à possibilidade de escutar as chamadas. Ou enviar mensagens em seu nome, entre outros cenários.
Entretanto, mantém-se este risco retratado em ambos os vídeos. Pelo menos até que as vulnerabilidades e falhas presentes no protocolo SS7 não sejam resolvidas. Não podemos deixar de salientar a gravidade desta lacuna, sobretudo para a interceção de comunicações a alto nível.
Por fim, face à gravidade do caso, acompanharemos atentamente os seus desenvolvimentos.