Especialistas hackeiam Telegram e criticam encriptação 'quase horripilante'

Atenção: esta matéria foi atualizada desde o momento de sua publicação. Ao fim, vocês podem conferir a declaração do Telegram a respeito do episódio.

Os mais preocupados com segurança e privacidade entre os usuários de aplicativos de mensagens de texto em smartphones provavelmente já conhecem o Telegram, um app para iOS, Android e Windows Phone que se tornou famoso justamente pela sua proposta de uso de criptografia. Se você é um dos que adotou o programa e sente-se seguro com seu uso, informações do Crypto Fails e da Zimperium indicam que talvez seja melhor pensar novamente.

Recentemente, os desenvolvedores responsáveis pelo Telegram lançaram um concurso em que desafiaram seus usuários a hackear mensagens codificadas mandadas por meio do app, façanha que renderia ao ganhador um prêmio equivalente a cerca de R$ 574 mil em Bitcoins. Sabendo disso, o Crypto Fails resolveu analisar as condições do programa e chegou à conclusão de que sua criptografia “está longe de ser perfeita. É quase horripilante”.

Segundo a equipe do site, o regulamento do concurso permite apenas certos tipos de ataques que estão entre os mais simples possíveis e não constituem uma ameaça real. Dessa forma, eles afirmam que a promoção é completamente inútil como forma de verificar a segurança do app e serve apenas como jogada de marketing.

“Nem os utilizadores nem os desenvolvedores do Telegram vão aprender qualquer coisa dos resultados do desafio. No entanto, a empresa ainda vai poder apontar para o concurso e dizer ‘Vejam! Ninguém venceu, então nosso software é seguro!’ Os usuários inocentes vão acreditar e se sentirão seguros usando uma encriptação perigosamente defeituosa”, afirmou.

Seguro, só que não

A equipe da empresa de segurança Zimperium Mobile Security também resolveu conferir o concurso e explicou as formas como foi capaz de obter acesso total a mensagens encriptadas enviadas pelo aparelho, mesmo após elas terem sido deletadas. Segundo a companhia, os responsáveis pelo Telegram se preocuparam puramente com dados em trânsito e acabaram abrindo espaço para vulnerabilidades nas informações que ficam armazenadas nos aparelhos.

“A tão falada poderosa encriptação do Telegram não protege seus usuários nem um pouco melhor do que qualquer outra página ou app que usa SSL”, afirma a empresa. Segundo eles, a proteção atual do mensageiro não evita que hackers sofisticados consigam invadir seu aparelho remotamente para obter acesso aos conteúdos das mensagens enviadas, mesmo as que foram encriptadas e apagadas, pois elas ficam salvas nos dispositivos.

A Telegram chegou a responder às falhas apontadas pelo Crypto Fails, no entanto argumentos utilizados foram prontamente rebatidos pelo site. Embora a Zimperium tenha enviado solicitações formais de contato para falar sobre suas descobertas, a empresa do mensageiro não enviou qualquer resposta mesmo após 30 dias de tentativas insistentes.

Caso você deseje conhecer um pouco mais sobre as falhas encontradas e saiba ler em inglês, confira os textos originais do Crypto Fails e da Zimperium clicando respectivamente aqui e aqui.

Atualização: como ressaltado pelo leitor e usuário do Twitter @danbr_2, o concurso ao qual o Crypto Fails se referiu foi realizado em 2013, de forma que as afirmações do site não se relacionam ao desafio mais recente. Ainda assim, a falha levantada pela Zimperium foi descoberta recentemente e continua válida.

Atualização 2: Respondendo à nossa matéria, a equipe do Telegram entrou em contato com o TecMundo para se pronunciar sobre as falhas levantadas pela Zimperium. Segue abaixo a declaração:

"O Zimperium diz que hackeou o Telegram, mas não é a realidade. Nenhum app pode garantir segurança em um aparelho com root. Portanto, não é uma falha da criptografia. O usuário tinha root no sistema e, com esses privilégios, os dados locais ficaram vulneráveis. Recomendamos fortemente manter seu dispositivo sem root nem aplicativos fora da Play Store para estar seguro".