Nessa semana a Polícia Federal (PF) executou algumas ações para prender os supostos hackers que teriam participado do acesso ilegal às contas dos procuradores e depois enviado os dados para o The Intercept.
Na internet muitas pessoas compartilharam informações dizendo que a forma de ataque informada não seria possível então parei para realizar alguns testes e buscar um histórico sobre o caso.
E posso garantir que o Telegram é seguro se utilizar as ferramentas disponíveis, falo isso com propriedade pois há alguns anos ofereço serviços relacionados como a customização de interface e criação de bots para Telegram.
Essa forma de ataque, permite que o atacante acesse muito mais que o telegram, permite acesso a informações em outros aplicativos que usem só o número de telefone e chamadas com códigos para autenticação.
No caso do telegram depois que roubar a conta e clonar o número da vitma o atacante tem acesso as mensagens salvas no serviço.
Atualização (29/07/2019): O Telegram removeu o recurso de envio de código por chamada telefonica impossibilitando a exploração da falha descrita abaixo.
E o que é Spoofing?
Spoofing é quando uma pessoa ou programa consegue fingir ter outra identificação que pode ser um número de telefone, e-mail, IP, etc, por exemplo:
“Jonas” usou uma forma de ter o mesmo número de telefone da “maria” em seu telefone e usando esse número pode se passar pela Maria cometendo contravenções.
Uma das formas de simular o número de outra pessoa em uma ligação é usando um serviço de Voip como aparentemente aconteceu no caso dos supostos “hackers” que permite mudar o número de origem da ligação.
**Para entender como funciona o spoofing nesse caso é bom entender o processo padrão do login com Telegram pela interface: **
Acessar um App móvel, desktop ou Telegram web
A pessoa deve digitar as informações de ddd e número do celular
Primeiro o telegram envia o código de autenticação por mensagem na plataforma junto com um aviso
Depois de alguns tempo ele permite a requisição de um código por SMS
Após solicitar o código de SMS ele permite a solicitação de uma ligação com o código
E se o usuário não conseguir atender por estar com o telefone ocupado ou fora de área a mensagem cai na caixa postal
No caso dos testes que fizemos na operadora da Vivo, mesmo com a caixa postal desabilitada a mensagem foi salva na caixa postal.
Com esse processo o telegram tenta de todas as formas possíveis permitir que a pessoa se autentique oferecendo sempre a forma mais econômica.
Esse processo padrão pode ser considerado pouco seguro e é oferecido por muitos outros serviços e empresas na internet.
O Telegram também oferece e recomenda o uso de autenticação com 2 fatores (2FA) que adiciona uma etapa extra após a autenticação com o código como uso de senha garantindo um nível muito alto de segurança.
Mas se o processo do telegram é seguro então o que aconteceu?
A falha da rede \o/ e falta de 2FA
As operadoras tem falhas como do exemplo abaixo e permitir o acesso ao código do telegram por exemplo:
Se um atacante ligar para o número clonado usando o mesmo número, a operadora pode redirecionar a ligação para caixa de mensagens da vítima dando acesso ao código do telegram ou qualquer código disponível na mesma.
Sim, essa falha permite acesso à qualquer tipo de código que pare na caixa de postagem e não é nova … vejam um vídeo mostrando esse tipo de ataque em 2016, no caso na itália:
Link: https://youtu.be/CZ9YBdrtr8g
Mas a ativação da autenticação com 2 fatores (2FA) adicionando uma senha na conta evitaria o ataque pois o atacante teria que saber a senha.
Se essa foi a forma usada para atacar e roubar as mensagens dos vítimas relacionadas com a Lava Jato então o nível de segurança da PF na época era muito básico, algo incompatível com a importância dela e dos processos relacionados.
E agora como se proteger?
O telegram e outros serviços parecidos permitem a ativação da autenticação de 2 fatores (2FA) algo essencial para garantir a segurança dos dados visto que as telefônicas não são muito confiáveis
Então para se proteger você deve ativar a autenticação de 2 fatores (2FA) e caso faça algo antiético ou fora da lei, evite a internet …
Mais informações sobre o 2FA no telegram: https://telegram.org/blog/sessions-and-2-step-verification e em português: https://telegram.org/faq/br#p-como-funciona-a-verificao-em-duas-etapas
Fontes:
- O que é Spoofing: https://en.wikipedia.org/wiki/Spoofing_attack
- Exemplo de ataque similar ao informado pela PF: https://www.youtube.com/watch?v=CZ9YBdrtr8g