Telegram reforça segurança para proteger contra ataques de invasão à caixa postal

Na prática, quem não configurou a verificação em duas etapas terá de utilizar o código recebido no próprio aplicativo em um dispositivo já autorizado. O objetivo é proteger usuários dos ataques de invasão à caixa de mensagens, onde a chamada telefônica com o código de ativação poderia ser gravada.

• Veja dicas de como proteger o celular e os aplicativos de mensagens
• Operadoras dificultam acesso à caixa postal depois de brecha

O Telegram anunciou as mudanças pelo Twitter. “Desde a semana passada, você só poderá receber um código de login do Telegram via chamada se sua conta já estiver protegida por uma senha de Verificação em Duas Etapas”, diz a publicação.

A invasão à caixa postal foi o método utilizado para violar as contas de Telegram de diversas autoridades, como o ministro Sergio Moro. A invasão às caixas de mensagens era possível porque as operadoras de telefonia permitiam o acesso à caixa postal se o dono da linha discasse o próprio número. Com a falsificação da origem da chamada, o hacker simulou uma ligação da vítima para ela mesma, acessando a caixa postal.

O acesso ao Telegram é liberado após o usuário digitar um código de autenticação recebido por SMS ou chamada telefônica. Porém, se o serviço estiver ativo em algum aparelho, o código será antes enviado a esses dispositivos. Uma senha pode ser configurada para a “verificação em duas etapas”, mas não é obrigatória para o uso do serviço.

Como o Telegram envia o código de ativação por chamada telefônica, o hacker fazia ligações para manter a linha do alvo ocupada enquanto ele solicitava o código, que era desviado para a caixa postal. Invadindo a caixa postal, ele conseguia a gravação da chamada do Telegram, que incluía o código, para acessar a conta da vítima.

Se o usuário do Telegram tiver uma senha configurada, o invasor terá que fornecer também essa senha, inviabilizando o ataque apenas pela caixa postal.

Por isso, quem utiliza esse recurso só precisa aguardar dois minutos para solicitar um SMS e outros dois minutos para solicitar uma chamada, enquanto quem não tem a senha não pode optar pela chamada e o envio de SMS só está disponível após uma hora de espera.

Nesta quinta-feira (31), o blog fez testes no acesso ao Telegram. Foi possível confirmar que as etapas de acesso para quem configurou a senha são diferentes das etapas para quem depende apenas do código enviado. No entanto, o serviço apresentava instabilidade, com mensagens de erro.

O Telegram se diferencia de outros serviços de mensagem por combinar duas características: não exigir senha do usuário (apenas o código de autorização) e o acesso completo às comunicações anteriores.

Essas características não aparecem juntas em outros serviços. Skype, Facebook e Instagram Direct guardam todo o histórico de mensagens, mas exigem senha. Já o WhatsApp, que permite ativação com código, não dá acesso às comunicações antigas.

O vazamento das mensagens do Telegram, da maneira como ocorreu no Brasil, não teria sido possível se o aplicativo funcionasse como os outros programas de sua categoria.

Usuários de Telegram podem configurar a verificação em duas etapas, que acrescenta uma senha, mas o recurso é opcional. Até o momento, não há indícios de que o hacker tenha derrotado esse recurso de segurança — o que significa que as autoridades que tiveram mensagens comprometidas não configuraram essa senha.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com