O que é o Telegram? Trata-se deu um serviço de mensagens instantâneas baseadas na nuvem, semelhante ao WhatsApp; foi lançado em 2013. Diferentemente que muitos pensam o Telegram, apesar de ter sido criado pelos irmãos russos Nikolai e Pavel Durov, é uma plataforma registrada em Londres. Em 2018, o serviço contava com 200 milhões de usuários ativos em todo o mundo. Ou seja, trata-se de uma plataforma menos difundida do que o WhatsApp, com 1,5 bilhões de usuários (dado de 2019).
Em relação ao vazamento de conversas mantidas pelo Ministro da Justiça, Sérgio Moro, e o procurador Deltan Dallagnol, não há informações concretas de como os dados foram capturados. Oficialmente, o Telegram não assume ou reconhece qualquer falha em seu código ou roubo de dados em seus servidores. A empresa afirma que não existem brechas para violações. Seus gestores confiam tanto em seu sistema que oferecem U$ 300,000.00 a quem conseguir quebrar o código de criptografia do Telegram.
No Telegram, a comunicação fim a fim é criptografada, seja no modo cliente-to-client (quando a comunicação é entre usuários) ou mesmo cliente-to-server – quando é entre usuários e o servidor de aplicação.
Dentro deste quadro, nossa análise aponta para três possíveis estratégias de invasão:
a. Há a possibilidade de o ofensor ter tido ajuda de pessoas de dentro da operadora utilizada por Moro ou por Dallagnol. Isto permitiria que o ofensor pudesse receber um SMS em seu “novo” aparelho para possíveis ‘resets’ de senhas. A partir daí, é bastante simples conseguir acesso às diferentes Apps nos smartphones dos usuários.
a. A invasão pode ocorrer a partir de diferentes meios. É o caso do recebimento de algum arquivo Office ou PDF contaminado e aberto, ou da instalação de algum App comprometido. Desta forma, o ofensor teria acesso a todo o dispositivo móvel do usuário e às mensagens trocadas com seus interlocutores.
b. Outro meio comum de invasão é o ‘phishing’. Neste caso, o usuário clica em links recebidos por meio de e-mails ou mesmo por SMS, acreditando estar interagindo com empresas conhecidas. Mas, na verdade, a pessoa está sendo direcionada a páginas web contaminadas ou ‘fakes’. Isso abre o acesso de criminosos digitais ao smartphone do usuário.
a. Nos principais celulares Android, o Google Play Protect é nativo. Já nos telefones mais antigos tal recurso não existe, exigindo que alguma proteção deste nível seja instalada, oferecendo uma camada adicional de proteção. Faça essa operação sempre através das lojas de aplicativos oficiais.
b. Dispositivos Apple operam de forma diferente. Entra em cena a tecnologia Sandbox, que impede que o malware invasivo acesse outras áreas de dados. A Apple também não permite que você baixe Apps que não sejam de sua loja de aplicativos.
a. Muitos usuários acabam baixando Apps depois de uma busca, ativando o aplicativo de dentro desta página Web após avaliarem a descrição do aplicativo associado à nota de avaliação. Além da nota de avaliação, é fundamental considerar, também, a quantidade de downloads efetivos realizados e os comentários dados por estes usuários. Esses depoimentos de usuários nos mostram as características do recurso baixado e as experiências tidas por quem teve acesso a eles.
a. Sua conexão pode estar sendo intermediada através de um dispositivo falso que se apresenta como se fosse a rede oficial do aeroporto, de um shopping center ou de um cyber café. Isso permite ao ofensor monitorar, de forma transparente, os dados do usuário.
Na era do BYOD (‘Bring your own device’), Apps como o Telegram ou o Whatsapp tornam-se importantes ferramentas de trabalho que precisam ser tratadas como aplicações missão crítica, não simples plataformas de comunicação. Garantir a integridade do seu dispositivo móvel é, hoje, tão importante quanto prover segurança a um data center. Para isso, ganhar cultura em segurança e contar com ferramentas capazes de defender seus dados é essencial.
*Arley Brogiato é country manager da SonicWall Brasil.
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…