Depois dos vazamentos recentes causados pelo relaxamento dos usuários nas questões de segurança, a Telegram lançou o desafio para que alguém quebre a segurança de sua verificação de duas etapas e altere o gif da postagem de um canal criado para esse fim.
Link na imagem.
Depois de acompanhar as formas de invasão contra aplicativos de mensagem, vejo que as falhas de segurança se concentram mais nos usuários do que nos aplicativos. As formas de invasão mais comum são:
Interceptação de SMS
- Pode ser de duas formas:
- Solicitando para que a vítima repasse um código de ativação recebido por SMS(ataque mais comum);
- Interceptando a comunicação SMS diretamente no sinal da operadora de telefonia;
- Pode ser de duas formas:
Dispositivo aberto
- Celular desbloqueado
- Invasor utiliza o próprio celular da vítima para cadastrar uma nova instalação do aplicativo para aquela mesma conta;
- Computador desbloqueado
- Ataque mais limitado, porém se a vítima mantiver um computador aberto com a interface do aplicativo logada, pode-se cadastrar facilmente uma nova instalação.
- Celular desbloqueado
"Amigo da Onça"
- Não considero essa uma forma de invasão, pois consiste basicamente na troca de mensagens em grupos privados nos quais um dos membros acabe repassando-as externamente.
Para evitar esse tipo de violação de privacidade, o Telegram possui sistemas de segurança opcionais, que são a verificação em duas etapas, a possibilidade da criação de "chats secretos" e uma lista de todos os dispositivos atribuídos àquela conta. Mas o aplicativo não força o usuário a aderir a esses meios de segurança e por conta disso muitos usuários optam pela facilidade do login fácil em detrimento da segurança. Não estou dando lição a partir de um contexto de superioridade moral, pois eu mesmo mantenho meus perfis de redes sociais e aplicativos logados em múltiplos lugares. A diferença é que eu não tenho muito o que esconder neles. E se tiver, eu uso os "chats secretos".