48 3052-8500

Novas falhas do Telegram - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 22 de julho de 2021

Novas falhas do Telegram

aplicativo telegram em celular

This post is also available in: Português

Pesquisadores encontraram vulnerabilidades inéditas de segurança no principal concorrente do WhatsApp, o Telegram.

É comum encontrar informações dando conta de que o aplicativo de mensagens Telegram é mais seguro do que o WhatsApp. Comparações à parte, uma possível vitória nesse ranking não o tornaria inviolável. Pelo contrário; em menos de um ano, já surgiram ao menos três conjuntos de graves vulnerabilidades de segurança no Telegram.

A mais recente delas foi divulgada nesta semana. Pesquisadores de segurança identificaram falhas no protocolo criptográfico do app, o MTProto, que permitia que invasores acessassem bate-papos criptografados e alterassem as mensagens. Entretanto, essas falhas já foram corrigidas nas atualizações mais recentes do software.

Um estudo acadêmico de pesquisadores da University of London, Royal Holloway e Applied Cryptography Group da universidade de pesquisa ETH Zurich, afirma que o MTProto – responsável por fornecer criptografia de ponta a ponta para mensagens enviadas pela plataforma – era suscetível a ser crackeado através de quatro vulnerabilidades criptográficas.

Essas falhas poderiam permitir que os invasores alterassem as sequências das mensagens enviadas, identificassem mensagens criptografadas de um cliente ou servidor, recuperassem textos de mensagens criptografadas e travassem ataques man-in-the-middle para alterar o servidor.

Corrigido com atualizações

As falhas variam de “triviais e fáceis de explorar” a “mais avançadas”, e afetam o Telegram Android versão 7.8.1, versão 7.8.3 para iOS e 2.8.8 para Telegram Desktop.

Nesse contexto, os desenvolvedores do app foram notificados sobre as falhas em abril, e corrigiram as vulnerabilidades como parte de suas atualizações regulares.

“Fomos informados pelos desenvolvedores do Telegram que eles não fazem lançamentos de segurança ou correção de bugs, exceto para correções de falhas pós-lançamento imediatas”, observam os pesquisadores.

A equipe de desenvolvimento também informou que não desejava emitir avisos de segurança no momento da correção, nem se comprometer com datas de lançamento. Assim, as correções foram lançadas dentro das atualizações convencionais do Telegram.

O que falhou

As quatro falhas criptográficas no MTProto foram:

– Alteração de mensagem: Esta falha trivial permitia que um invasor alterasse a ordem das mensagens que vêm de um cliente para o servidor.

– Identificação de mensagens criptografadas: essa vulnerabilidade decorria do recurso de confirmação de mensagens do Telegram, que avisava ao remetente que a mensagem foi recebida pelo destinatário. Isso resultou no vazamento da confirmação, permitindo que invasores detectassem qual das duas mensagens especiais foi criptografada por um cliente ou servidor. Embora ataques do tipo sejam altamente improváveis, os pesquisadores observam que os protocolos criptográficos devem ser projetados para evitar tais vazamentos.

– Recuperação de texto simples: permitia que os invasores acessassem alguma parte da mensagem em texto simples, enviando mensagens criadas para o alvo. Se a falha fosse explorada, poderia resultar em um comprometimento da confidencialidade das mensagens do Telegram.

– Ataque man-in-the-middle: esta era mais grave que as demais, e permitia que os invasores falsificassem a identidade do servidor. Por sorte, explorar essa vulnerabilidade era muito difícil, pois os golpistas teriam que enviar milhões de mensagens ao alvo para conseguir um ataque eficaz.

Uma ressalva dessas descobertas é que foram analisados apenas três clientes oficiais do Telegram. No entanto, alguns desses clientes têm bases de usuários substanciais e de grande relevância.

Ainda assim, a fragilidade do protocolo MTProto é um motivo de preocupação se os desenvolvedores desses clientes cometessem erros na implementação do protocolo. “Opções alternativas para MTProto teriam tornado a tarefa bem mais fácil para os desenvolvedores”, dizem os pesquisadores.

Problemas anteriores

Não foi a primeira vez que vieram à tona notícias sobre vulnerabilidades do Telegram. Em fevereiro, por exemplo, pesquisadores da empresa de segurança Cofence descobriram uma campanha de phishing que tentava roubar as credenciais das vítimas abusando da API do app. A ideia era criar domínios maliciosos para contornar gateways de e-mail.

Antes disso, em setembro de 2020, a empresa de segurança Malwarebytes descobriu que alguns fraudadores começaram a usar o Telegram como uma forma de varrer os dados do cartão de pagamento das vítimas usando sequências de codificação Base64 em conjunto com um bot.

Assim, independente de qual for o grau de segurança de cada app, os usuários devem fazer a sua parte no que diz respeito à segurança digital. Isso significa tomar medidas de cautela, como ativar a autenticação por dois fatores, fugir de links suspeitos e manter ativos os sistemas antivírus. Do contrário, por mais seguro que seja o app, pode ser sempre uma porta de entrada para invasores – caso os usuários não façam a sua parte.

This post is also available in: Português

LGPD: sanções passam a vigorar a partir de agosto

Postagem anterior