Telegram reforça segurança para proteger contra ataques de invasão à caixa postal
O Telegram modificou as etapas necessárias para autorizar o acesso a novos dispositivos e limitou o recebimento do código de ativação por chamada a quem configurou uma senha adicional. Quem não tiver essa senha também precisa aguardar uma hora para solicitar o código por SMS.
Na prática, quem não configurou a verificação em duas etapas terá de utilizar o código recebido no próprio aplicativo em um dispositivo já autorizado. O objetivo é proteger usuários dos ataques de invasão à caixa de mensagens, onde a chamada telefônica com o código de ativação poderia ser gravada.
O Telegram anunciou as mudanças pelo Twitter. “Desde a semana passada, você só poderá receber um código de login do Telegram via chamada se sua conta já estiver protegida por uma senha de Verificação em Duas Etapas”, diz a publicação.
A invasão à caixa postal foi o método utilizado para violar as contas de Telegram de diversas autoridades, como o ministro Sergio Moro. A invasão às caixas de mensagens era possível porque as operadoras de telefonia permitiam o acesso à caixa postal se o dono da linha discasse o próprio número. Com a falsificação da origem da chamada, o hacker simulou uma ligação da vítima para ela mesma, acessando a caixa postal.
Ataque na ativação do Telegram
O acesso ao Telegram é liberado após o usuário digitar um código de autenticação recebido por SMS ou chamada telefônica. Porém, se o serviço estiver ativo em algum aparelho, o código será antes enviado a esses dispositivos. Uma senha pode ser configurada para a “verificação em duas etapas”, mas não é obrigatória para o uso do serviço.
Como o Telegram envia o código de ativação por chamada telefônica, o hacker fazia ligações para manter a linha do alvo ocupada enquanto ele solicitava o código, que era desviado para a caixa postal. Invadindo a caixa postal, ele conseguia a gravação da chamada do Telegram, que incluía o código, para acessar a conta da vítima.
O Telegram anunciou as mudanças pelo Twitter. “Desde a semana passada, você só poderá receber um código de login do Telegram via chamada se sua conta já estiver protegida por uma senha de Verificação em Duas Etapas”, diz a publicação.
A invasão à caixa postal foi o método utilizado para violar as contas de Telegram de diversas autoridades, como o ministro Sergio Moro. A invasão às caixas de mensagens era possível porque as operadoras de telefonia permitiam o acesso à caixa postal se o dono da linha discasse o próprio número. Com a falsificação da origem da chamada, o hacker simulou uma ligação da vítima para ela mesma, acessando a caixa postal.
Ataque na ativação do Telegram
O acesso ao Telegram é liberado após o usuário digitar um código de autenticação recebido por SMS ou chamada telefônica. Porém, se o serviço estiver ativo em algum aparelho, o código será antes enviado a esses dispositivos. Uma senha pode ser configurada para a “verificação em duas etapas”, mas não é obrigatória para o uso do serviço.
Como o Telegram envia o código de ativação por chamada telefônica, o hacker fazia ligações para manter a linha do alvo ocupada enquanto ele solicitava o código, que era desviado para a caixa postal. Invadindo a caixa postal, ele conseguia a gravação da chamada do Telegram, que incluía o código, para acessar a conta da vítima.
Se o usuário do Telegram tiver uma senha configurada, o invasor terá que fornecer também essa senha, inviabilizando o ataque apenas pela caixa postal.
Por isso, quem utiliza esse recurso só precisa aguardar dois minutos para solicitar um SMS e outros dois minutos para solicitar uma chamada, enquanto quem não tem a senha não pode optar pela chamada e o envio de SMS só está disponível após uma hora de espera.
Nesta quinta-feira (31), o blog fez testes no acesso ao Telegram. Foi possível confirmar que as etapas de acesso para quem configurou a senha são diferentes das etapas para quem depende apenas do código enviado. No entanto, o serviço apresentava instabilidade, com mensagens de erro.
