Mesmo se um aplicativo utiliza a comunicação criptografada, ainda existem algumas maneiras de descobrir dados das pessoas que o utilizam. Tendo isso em mente, usando um pequeno software, um pesquisador descobriu como alguém pode espionar parte da atividade dos usuários do Telegram e, potencialmente, descobrir com quem estão falando.
O Telegram é um serviço de mensagens criptografadas muito popular disponível para iOS, Android e Desktop. Em setembro passado, o fundador da empresa, Pavel Durov, afirmou que a plataforma é usada para enviar 12 bilhões de mensagens todos os dias.
O consultor da Sony Mobile Communications, Ola Flisbäck, postou no Github os resultados da sua tentativa de descobrir as falhas no aplicativo usado um software de linha de comando como cliente para o Telegram, que pode ser instalado no Linux ou Mac OSX, .
Flisbäck conseguiu monitorar a atividade de um dispositivo Android rodando Telegram. Ele descobriu que “o app para Android envia uma notificação para todos os contatos quando entra ou sai do primeiro plano no dispositivo." Em outras palavras, sempre que alguém para de usar Telegram para a digitação ou leitura de mensagens.
É importante ressaltar que este snooping não tem nada a ver com o verdadeiro conteúdo das mensagens. O Telegram tem um recurso de "bate-papo secreto", onde os usuários podem ativar a criptografia ponto-a-ponto de suas conversas, o que significa que o seu conteúdo não poderá ser lido se for interceptado.
No entanto, os meta-dados capturados ainda podem revelar uma quantidade significativa de informações sobre os usuários. Na verdade, o especialista em segurança operacional conhecido como “The Grugq” twittou que esse método poderia ser usado para "adivinhar com precisão quem está falando com quem."
Flisbäck escreveu que "um invasor, poderia descobrir dados da vítima e do seu contato enquanto trocam mensagens."
Outro problema é que o uso do Telegram da vítima pode ser monitorado sem que ela note. "O pior é que o telegrama não exige que os contatos concordem mutuamente que eles devem estar conectados!" Flisbäck escreve. Isto significa que um invasor pode adicionar o ‘alvo’ à sua lista de contatos, e começar a gravar os momentos em que o ele esta online e offline, sem que a vítima fique sabendo: “Tudo o que precisamos é saber o número de telefone”.
"Isso é muito problemático para um aplicativo com foco em proteger suas conversas contra terceiros", escreve Flisbäck.
Após a publicação desta informação, Markus Ra, porta-voz do Telegram, afirmou por email que "No Telegram, você pode controlar quem pode ver seu status online pela última vez. Ao contrário de outros apps atuais, é possível também estreitar ainda mais esse acesso para contatos específicos com as configurações 'sempre mostrar para' e 'nunca mostrar para' no menu 'Configurações - Privacidade e segurança – Último Acesso'. "
Via: Joseph Cox - motherboard.vice.com
O Telegram é um serviço de mensagens criptografadas muito popular disponível para iOS, Android e Desktop. Em setembro passado, o fundador da empresa, Pavel Durov, afirmou que a plataforma é usada para enviar 12 bilhões de mensagens todos os dias.
O consultor da Sony Mobile Communications, Ola Flisbäck, postou no Github os resultados da sua tentativa de descobrir as falhas no aplicativo usado um software de linha de comando como cliente para o Telegram, que pode ser instalado no Linux ou Mac OSX, .
Flisbäck conseguiu monitorar a atividade de um dispositivo Android rodando Telegram. Ele descobriu que “o app para Android envia uma notificação para todos os contatos quando entra ou sai do primeiro plano no dispositivo." Em outras palavras, sempre que alguém para de usar Telegram para a digitação ou leitura de mensagens.
É importante ressaltar que este snooping não tem nada a ver com o verdadeiro conteúdo das mensagens. O Telegram tem um recurso de "bate-papo secreto", onde os usuários podem ativar a criptografia ponto-a-ponto de suas conversas, o que significa que o seu conteúdo não poderá ser lido se for interceptado.
No entanto, os meta-dados capturados ainda podem revelar uma quantidade significativa de informações sobre os usuários. Na verdade, o especialista em segurança operacional conhecido como “The Grugq” twittou que esse método poderia ser usado para "adivinhar com precisão quem está falando com quem."
Flisbäck escreveu que "um invasor, poderia descobrir dados da vítima e do seu contato enquanto trocam mensagens."
Outro problema é que o uso do Telegram da vítima pode ser monitorado sem que ela note. "O pior é que o telegrama não exige que os contatos concordem mutuamente que eles devem estar conectados!" Flisbäck escreve. Isto significa que um invasor pode adicionar o ‘alvo’ à sua lista de contatos, e começar a gravar os momentos em que o ele esta online e offline, sem que a vítima fique sabendo: “Tudo o que precisamos é saber o número de telefone”.
"Isso é muito problemático para um aplicativo com foco em proteger suas conversas contra terceiros", escreve Flisbäck.
Após a publicação desta informação, Markus Ra, porta-voz do Telegram, afirmou por email que "No Telegram, você pode controlar quem pode ver seu status online pela última vez. Ao contrário de outros apps atuais, é possível também estreitar ainda mais esse acesso para contatos específicos com as configurações 'sempre mostrar para' e 'nunca mostrar para' no menu 'Configurações - Privacidade e segurança – Último Acesso'. "
Via: Joseph Cox - motherboard.vice.com
0 comentários:
Postar um comentário