23°C 16°/ 24°
Redes Sociais

WhatsApp e Telegram: veja como é fácil invadir a sua conta de utilizador

30 Comentários

O WhatsApp é o serviço de comunicações instantâneas mais popular do mundo, com o Telegram a afigurar-se como uma das principais alternativas. Ao propósito, ambas as plataformas têm reiterado a segurança das conversas face à encriptação, mas agora isso está em cheque devido às falhas no SS7.

Em dois novos vídeos, uma equipa de hackers leva-nos a questionar a nossa sensação de segurança.

WhatsApp Telegram vídeos hackers SS7



O mesmo processo de encriptação avançada de ponta-a-ponta é igualmente empregue pelos serviços da Telegram. Na prática, isto significa que apenas quem enviou, e quem recebeu a mensagem, poderão aceder aos seus conteúdos e efetivamente ver o que nela consta. Pelo menos, esta é a teoria vigente.

Quão seguro é o WhatsApp? Ou o Telegram?

Esta mesma segurança foi amplamente divulgada por ambas as plataformas. Assim, durante muito tempo não existiam motivos de maior para nos preocuparmos. No entanto, temos agora um grupo de hackers que publicou dois vídeos gravosos e deveras preocupantes, tanto para quem usa o WhatsApp como o Telegram.

O grupo afirma, entre outras coisas, que consegue ter acesso a todos as conversas de qualquer pessoa. Seja ela utilizadora de um, ou de outro, serviço de mensagens instantâneas. Além disso, todo o processo, ou pelo menos os seus resultados, foram publicados na plataforma de vídeos da Google, o YouTube.

https://youtu.be/fDJ-88e_06A

Sem se preocuparem muito com a “encriptação avançada” do WhatsApp ou do Telegram, os dois vídeos mostram um processo similar de “ataque”. A exploração de uma falha nos padrões da comunicação via wireless e o número de telefone dos utilizadores. É, portanto, transversal a ambas as plataformas.

A exploração de uma falha de segurança no protocolo SS7

Mais concretamente, está aqui em questão uma vulnerabilidade que engana as operadoras. Trata-se de uma lacuna de segurança no protocolo SS7. Assim, utilizando o mesmo número de telefone do visado e potencial vítima, os hackers ganham acesso aos conteúdos da sua conta de Telegram ou WhatsApp.

Note-se que a conta de WhatsApp e Telegram de cada utilizador é identificada principalmente pelo seu número de telefone. Assim sendo, os hackers têm apenas que se fazer passar pelo número de telefone que pertence à conta que querem invadir. Por outras palavras, tudo o que precisam de saber é o seu número.

A partir daí, a equipa de hackers pode ter acesso à conta da outra pessoa. Isto significa que conseguem aceder a todos os conteúdos, e caso queiram, guardar todas as suas conversas. Algo que se torna perfeitamente claro em ambos os vídeos, afetando o WhatsApp e Telegram de igual modo.

https://youtu.be/dkvQqatURdM

Além disso, os hackers acabam também por receber as SMSs de confirmação da conta. Os códigos de verificação, únicos e enviados pelas plataformas para o dispositivo móvel do utilizador. Mais uma vez, fruto da mesma lacuna em que estes assumem o número de telefone da conta visada e potencial vítima.

Tudo o que  os hackers necessitam é o número de telefone

É esta a conclusão a ser daqui retirada. Perante o atual status quo, este método exige apenas o seu número de contacto. A partir daí, podem até fazer um backup dos seus dados e conversações para a nuvem como forma fácil e eficaz de copiar e guardar todas as informações.

A única nota positiva é o facto de o WhatsApp e o Telegram alertarem quando uma conta está a ser utilizada num novo dispositivo. Por conseguinte, se receber um alerta que a sua conta está a ser utilizada em algum smartphone ou tablet que não conhece, não ignore o aviso.

https://twitter.com/assolini/status/1136708930791444485

Já de acordo com a BGR o problema reside no protocolo SS7 ou “Signaling System n.º7″. É um sistema de rede global que está sob o controlo das empresas de telecomunicações. Algo que acaba por obstar a um rápido colmatar da lacuna e resolução eficaz do problema.

Mantém-se o risco retratado nos vídeos

Aliás, este é o padrão de redes utilizado em todo o mundo para ligar um dispositivo móvel a outro. Portanto, o acesso aos dados do WhatsApp e Telegram pode ser apenas um “mal menor” face à possibilidade de escutar as chamadas. Ou enviar mensagens em seu nome, entre outros cenários.

Entretanto, mantém-se este risco retratado em ambos os vídeos. Pelo menos até que as vulnerabilidades e falhas presentes no protocolo SS7 não sejam resolvidas. Não podemos deixar de salientar a gravidade desta  lacuna, sobretudo para a interceção de comunicações a alto nível.

Por fim, face à gravidade do caso, acompanharemos atentamente os seus desenvolvimentos.

Leia mais…

10 novas funções que vão mudar o seu WhatsApp

Autor: Micael Pires
Partilhar:
Tags:
Segurança SS7 telegram WhatsApp
Xiaomi Jimmy JV83 – por uma casa mais limpa
Artigo anterior

Xiaomi Jimmy JV83 – por uma casa mais limpa
Windows 10: Saiba como centrar os ícones da barra de tarefas
Próximo artigo

Windows 10: Saiba como centrar os ícones da barra de tarefas
Também pode gostar
PUB

Comentários

30

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Ze
    Ze

    Desde que use o número de telemóvel como método de autenticação, acabou-se a segurança.

    Responder
    1. Avatar de Felipe Cardoso
      Felipe Cardoso

      +1

      Responder
    2. Avatar de luis borges
      luis borges

      No telegram: Two-Step Verification …. e fica um pouco mais dificil 😀

      Responder
      1. Avatar de Tiago Sousa
        Tiago Sousa

        Done 😉

        Responder
  2. Avatar de Arthur Gomes
    Arthur Gomes

    Nesta última semana, aqui no Brasil, tem se falado muito na ação de um hacker que teve acesso e divulgou mensagens do Telegram trocadas entre membros do Ministério Público com um juiz, referentes a uma operação que investigou e prendeu políticos e empresários – dentre estes, o ex-presidente do Brasil, Luiz Inácio Lula da Silva.
    Um porta-voz do Telegram se pronunciou sobre o caso em entrevista à BBC News Brasil: https://www.bbc.com/portuguese/brasil-48589211?ocid=socialflow_facebook&fbclid=IwAR0b7S15HBPGyxYJ-WN67tFnAatGwSYixF8EDsdTza8Vf1Ca6Orl2vmcgXc

    Responder
  3. Avatar de SANDOKAN 1513
    SANDOKAN 1513

    Se fosse só no WhatsApp e no Telegram que se usurpam contas… Enfim,fico-me por aqui.Para bom entendedor meia palavra basta.

    Responder
  4. Avatar de Um leitor tuga
    Um leitor tuga

    Onde anda o pessoal que afirma que o Telegram é mais seguro que o WhatsApp??

    Responder
    1. Avatar de jonhy
      jonhy

      é mais seguro, continua é com falhas ; )

      Responder
    2. Avatar de Joaquim Rocha
      Joaquim Rocha

      Tens a autenticação de 2 passos!

      Responder
    3. Avatar de Olhos azuis
      Olhos azuis

      Nada é seguro, basta um bom programador para aquecer as plataformas todas.
      Já vi por ai geradores de matrizes de bancos, agora vejam o perigo

      Responder
    4. Avatar de Basílio Farinha
      Basílio Farinha

      Se usares o chat secreto com mensagem programadas para se autodestruir é.

      Responder
  5. Avatar de Jorge Gomes
    Jorge Gomes

    Nao uso nenhum desses serviços, nao preciso, so usa mesmo gente infeliz, quando eu tenho na minha assinatura, chamadas e sms ilimitadas para todo o país e toda a Europa, para que vou eu a utilizar essa merda, pensem bem.

    Responder
    1. Avatar de Miguel Goucha
      Miguel Goucha

      Gente infeliz que usa estas apps para mandar mensagens com caracteres ilimitados, partilhar fotos, mandar documentos, fazer chamadas de voz e vídeo, conversar em grupo… Ai Jorge, Jorge, confessa lá, qual foi a operadora que te pagou para andares aqui a promover as SMS do século passado? Ou tu é que tropeçaste sozinho em 1999? 😀

      Responder
      1. Avatar de zé da gaita
        zé da gaita

        mms? email?

        Responder
    2. Avatar de Luís Martins
      Luís Martins

      O senhor Jorge Gomes é um verdadeiro gênio, faz tudo “às claras” nada de segurança, penso que até tem a porta de casa sem fechadura assim como a do carro e as passwords todas escritas num papel à vista de toda a gente.

      Responder
      1. Avatar de Xinuo
        Xinuo

        Todas as passwords dele: 12345678
        Ou menos números, coloquei 8 caracteres, pois, há serviços, que exigem no mínimo esse tamanho.

        Responder
  6. Avatar de Alexandre Alves
    Alexandre Alves

    Mas que treta de headline. A falha não é no WhatsApp ou Telegram. A falha é no protocolo SS7. O que o hacker fez foi o exploit a impersonificou um dos utilizares. Como o WhatsApp e Telegram usam o numero de tlm para “authenticação” tudo lixado. Importante e que parece ter ficado de fora, é que a sms foi enviada pro tlm “false”.

    Responder
  7. Avatar de Tim
    Tim

    2FA no Telegram impede isso.
    E as Secret chats ficam apenas no dispositivo que as iniciou, não sincroniza para outros dispositivos
    Telegram sempre na vanguarda

    Mas sim, autenticações com mensagens SMS são idiotice. Mas todos os bancos usam.
    Deveriam usar pelo menos TOTP.

    Responder
    1. Avatar de Keseir
      Keseir

      *várias coisas

      Responder
    2. Avatar de Xinuo
      Xinuo

      Estava procurando algo sobre isso que falou de “2FA”.

      O Telegram diz que autenticação de dois fatores resolve o problema de clonagem de linha. Você acha que não?

      Responder
  8. Avatar de Jorge Rodrigues
    Jorge Rodrigues

    Titulo incorrecto,
    mais a mais só é possível se os estiver ligado a uma rede wifi…
    mas isto não pode espantar ninguém, vão sempre haver quebras de segurança.

    Responder
  9. Avatar de Pedro Silva
    Pedro Silva

    Os vídeos do YouTube são de à 2 anos, de 2017. Destas vulnerabilidades.

    Responder
  10. Avatar de Joao Ptt
    Joao Ptt

    Por isso há muito que digo que o único programa minimamente seguro é o Threema, e mesmo esse tem limites… se o aparelho estiver comprometido nem o Threema é seguro, mas se o aparelho for seguro o Threema mantêm um nível de segurança e privacidade maior… porque gera o seu próprio identificador na rede.

    O e-mail e telefone podem ser colocados opcionalmente para ajudar a descobrir o identificador e verificar que é daquela pessoa/ empresa.
    E sim, é tudo sempre encriptado ponto-a-ponto e autenticado. A autenticação necessita que o vosso smartphone/ tablet veja o código QR no smartphone / tablet da outra pessoa para confirmar o contacto como o correcto de forma absoluta… e sim, podem ver a impressão digital da chave da pessoa se quiserem mesmo ver manualmente se está correcto.

    O único se não é que eles cobram um pequeno valor monetário uma única vez por conta… ou seja não é gratuito como o whatsapp e o telegram, e mesmo aquele pequeno valor só é pequeno porque eles rentabilizam a rede com várias opções para dar a terceiros acesso à rede para mandarem mensagens para os seus clientes que desejem receber as mensagens (ex.: recuperação de acesso; alarmes de falhas em sistemas críticos; receber promoções de empresas; confirmar operações online; bots interactivos; etc.)

    Responder
    1. Avatar de Manuel Noites
      Manuel Noites

      Para isso então Brax.Me , it’s free.

      Responder
    2. Avatar de Luís Martins
      Luís Martins

      As aplicações com Autenticação por número de telefone ou por e-mail com recuperação da password por SMS ou via e-mail significa que têm pouca segurança . Só que neste mundo dito “moderno” ninguém liga à segurança e muito menos quando falamos de privacidade, depois é o que se sabe , a vida privada e os ditos “segredos” expostos nas primeiras páginas dos jornais ou assaltos às contas bancárias, criptomoedas e cartões de crédito.

      Responder
    3. Avatar de Xinuo
      Xinuo

      O Telegram pode ser usado da mesma forma que o WhatsApp, basta que se use a função CHAT SECRETO, a comunicação é ponto-a-ponto, criptografia diferente da normal no Telegram e é fácil configurar o timer de autodestruição das mensagens.

      Responder
  11. Avatar de Luís Martins
    Luís Martins

    A única forma de proteger o Telegram ou o Signal é configurar a opção de segurança que exige uma password para instalar num novo aparelho. Não tendo essa opção activa é muito fácil roubar a identidade no Telegram ou no Signal em relação ao WhatsApp é o mesmo tem que activar a opção “dois passos” ou seja 2fa . Atenção por exemplo no Telegram nada de activar a recuperação da password via e-mail senão lá se vai a segurança , pois os e-mails não têm nenhuma segurança.

    Responder
  12. Avatar de Pedro Sousa
    Pedro Sousa

    Só não percebi como lêem as conversas qie estão encriptadas com a chave que está no dispositivo da vítima…
    Ou isto só lê as conversas novas?

    Responder
    1. Avatar de Luís Martins
      Luís Martins

      Simples, clonam o seu número de telefone e recuperam a password por SMS , as mensagens estão normalmente guardadas num backup na cloud, por exemplo os android periodicamente fazem um backup para os serviços da cloud da Google o OneDrive. Como têm acesso ao seu número de telefone recuperam a password dessa serviço via SMS e fazem o “restore” repondo tudo existente no seu telefone. A segurança dos smartphones é quase zero.

      Responder
  13. Avatar de carlos silva
    carlos silva

    Mais facil usando droidjack –> https://www.youtube.com/watch?v=HVvNy2cxUwo

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.