O fato de alguém poder espionar o WhatsApp e o Telegram, que agora se tornaram o centro de nossas conversas diárias, pode imediatamente arrepiar os cabelos.
Explicamos a você há algum tempo como isso é teoricamente possível, mas difícil de implementar, no entanto, uma "descoberta" recente da empresa de segurança milanesa InTheCyber mostra que existe um método viável para fazer isso; para eles seria "brincadeira de criança".
Praticável sim, até bastante simples, mas que no mundo real pode encontrar muita dificuldade.
Porque? Simples: tudo se baseia no fato de que quando a autenticação ocorre (não autorizado) para conectar ao WhatsApp ou Telegram il telefone do titular da conta legítima deve ser desligado.
A falha descoberta pelo InTheCyber, conforme relatado pelo Corriere, não é específica do WhatsApp ou Telegram, mas diz respeito a uma fraqueza do sistema de atendimento telefônico operadores português. Tudo se baseia no fato de que ambos os sistemas de mensagens autenticar em um dispositivo usando um código enviado via SMS (ou via IM para Telegram, em alguns casos).
Caso a autenticação via SMS não seja bem sucedida, vem iniciou uma chamada automática para comunicar este código diretamente por telefone.
Espionando WhatsApp e Telegram: chega a secretária eletrônica!
É aqui que entra a secretária eletrônica; não, não é do WhatsApp, é da nossa operadora de telefonia! Auto o telefone do proprietário da conta está desligado e a secretária eletrônica está ativa, a mensagem contendo o código de acesso é deixado na secretaria.
A fraqueza serviu: vários operadores português permitem acesse a secretaria simplesmente ligando do seu número ou por outro número; no último caso, você precisará especificar o número da caixa de correio que deseja acessar e especifique um código de acesso. Infelizmente, poucos usuários mudam esse código - e existem guias na rede que oferecem os códigos padrão.
Entre outras coisas, existem alguns aplicativos que permitem "simular" o identificador de chamadas de um número que não é realmente, enganando a secretária eletrônica e obtendo acesso automático a ela.
Moral da história: teoricamente, para ter acesso ao WhatsApp e ao Telegram, é necessário ter o número do telefone do usuário da vítima, o código padrão de sua secretária eletrônica e realizar o procedimento de login quando o telefone desta estiver esgotado.
Uma série de circunstâncias que não são fáceis de alcançar, devemos admitir.
O que acontece se o ataque for bem-sucedido?
Dito isso, vamos direto ao ponto: espiar o WhatsApp com este método é apenas metade possível, no que se refere a restaurar backups existentes também é necessário ter as credenciais do Gmail da vítima; no entanto, você pode ler as mensagens recebidas a partir do momento do acesso (e possivelmente respondê-las), pelo menos até o a própria vítima não percebe de um acesso indesejado e o revoga.
História um pouco diferente para o Telegram, que em vez disso armazena mensagens em um servidor: em caso de acesso indesejado, elas estarão disponíveis imediatamente, no entanto não haverá como acessar bate-papos secretos. Isso até que, mais uma vez, a vítima tome conhecimento de um acesso indesejado.
Os operadores telefónicos português nem os operadores de Telegram responderam ao relatório da InTheCyber; Já o pessoal do WhatsApp respondeu que não é um problema de competência, pois o ponto fraco está nos sistemas de secretária eletrônica.
Como resolver?
Quanto ao WhatsApp, para estarmos mais seguros (apesar da ocorrência de circunstâncias é bastante difícil) podemos com segurança desligue a secretária eletrônica em um telefone que está desligado ou inacessível ou, talvez, altere o código de acesso (neste caso, no entanto, o problema dos aplicativos de "discagem falsa" permaneceria).
Quanto ao Telegram é possível evite facilmente esta situação sem nem desligar a secretária eletrônica, simplesmente habilitando a autenticação de dois fatores - ou a solicitação de uma senha adicional para o PIN de acesso - de Menu> Configurações> Privacidade e segurança.
Moral da história
O problema existe, é um fato; no entanto, isso não deve desencadear um alarmismo sem sentido, uma vez que a ocorrência simultânea das condições para o sucesso do ataque (especialmente com o telefone desligado!) é bastante rara. Se quisermos ter certeza, as soluções são simples: desative o correio de voz se usarmos o WhatsApp, ative a autenticação de dois fatores se usarmos o Telegram.
Isso, pelo menos, até que as operadoras implementem um mecanismo de acesso mais seguro à secretária eletrônica!