Como o Telegram pode ser invadido?

Entenda as diferen�as desse aplicativo para o

WhatsApp
Aplicativo entrou em evid�ncia depois da divulga��o de supostas conversas entre
procuradores da Lava Jato e o ent�o juiz S�rgio Moro.

Telegram, aplicativo de mensagens � Foto: Divulga��o/Telegram Telegram, aplicativo

de mensagens � Foto: Divulga��o/Telegram
Telegram, aplicativo de mensagens � Foto: Divulga��o/Telegram

O Telegram, um aplicativo de mensagens pouco conhecido no Brasil, ganhou evid�ncia

nos �ltimos dias ap�s a divulga��o de conversas atribu�das a procuradores da Lava
Jato e a S�rgio Moro. Os di�logos teriam ocorrido na �poca em que o atual ministro
da Justi�a era juiz federal no Paran�.

Como essas conversas foram obtidas? O Telegram pode ser invadido? Como ele
funciona? Ele � mais ou menos seguro que o concorrente WhatsApp? E, afinal, o que �
o Telegram? Veja abaixo:

Como as conversas vazaram?

O Telegram nega que seu servidor tenha sido invadido e sugere que a poss�vel
invas�o tenha ocorrido no aparelho celular onde o aplicativo est� instalado (leia
nota ao final da reportagem).

Recentemente, Moro denunciou que teve seu celular hackeado � e procuradores

disseram ter sido alvo do mesmo tipo de crime.

Mas o site Intercept, que divulgou as supostas trocas de mensagens envolvendo o

ministro (saiba mais sobre o conte�do das conversas), disse que obteve os di�logos
antes de poss�veis invas�es ilegais. Segundo o Intercept, as informa��es foram
obtidas de uma fonte an�nima.

Onde ficam as mensagens do Telegram?

A principal diferen�a entre Telegram e WhatsApp � a maneira como as mensagens s�o
salvas.

No Telegram, elas ficam nos servidores da empresa.

J� no WhatsApp, as mensagens antigas ficam salvas no pr�prio aparelho.
Com isso, se o usu�rio acessa a conta do Telegram em outro dispositivo (celular,
tablet ou computador), ele pode baixar todo o hist�rico de conversas.

No WhatsApp tamb�m d� para baixar o hist�rico de conversas. Mas esse hist�rico fica
em um arquivo na nuvem (Google Drive ou iCloud, por exemplo), e n�o no servidor do
WhatsApp. Ou seja, para baixar as conversas, o hacker precisa da senha do Google
Drive e do iCloud, al�m do WhatsApp.

O Telegram � mais seguro que o WhatsApp?

Para Altieres Rohr, especialista em seguran�a digital que tem um blog no G1, o
WhatsApp �, hoje, muito mais seguro que o Telegram com rela��o a mensagens antigas.

Os dois aplicativos t�m modelos totalmente diferentes um do outro:

O WhatsApp armazena todas as mensagens trocadas em apenas um �nico telefone, e n�o

"em nuvem" (servidores da empresa). As mensagens enviadas por um celular s�o
criptografadas (isto �, protegidas) de ponta a ponta � elas n�o ficam nunca
"descriptografadas", nem no servidor, como � o caso do Telegram. Um hacker que
invade uma linha at� pode ativar o WhatsApp, mas ele vai ter acesso apenas � conta,
e n�o �s mensagens anteriormente enviadas ou recebidas. Al�m disso, o WhatsApp n�o
permite que outros aparelhos de telefone sejam ativados com um mesmo n�mero � o
aplicativo exige que o usu�rio ative um telefone como central, que envia e recebe
as mensagens. O WhatsApp pode ser usado em computador (no modo WhatsApp Web), mas
essa op��o n�o funciona se o smartphone estiver desligado ou sem conex�o com
internet.
O Telegram � um programa "em nuvem" (ou seja, todo o conte�do das conversas fica
armazenado nos servidores da empresa). As mensagens enviadas por um celular n�o s�o
criptografadas de ponta a outra � elas saem criptografadas de um aparelho, mas
depois s�o "descriptografadas" no servidor do Telegram. Um hacker que invadisse uma
linha e entrasse em uma conta de Telegram teria, automaticamente, acesso ao
hist�rico de mensagens. Al�m disso, o Telegram permite que uma conta seja ativada
em v�rios aparelhos ao mesmo tempo � o aplicativo n�o limita o uso a um telefone
que funciona como central. O Telegram funciona em computadores sem rela��o com o
celular (e n�o � necess�rio que ele esteja conectado � internet). O �nico tipo de
conversa do Telegram que n�o fica armazenado on-line � o chamado "chat secreto"
(leia mais abaixo).
"A maneira mais f�cil de ver as mensagens antigas de outra pessoa no WhatsApp �
ativando uma sess�o do WhatsApp Web. Isso requer acesso completo ao aparelho
celular. O mesmo truque funciona no Telegram, mas n�o � o �nico: o acesso � linha
de telefone � suficiente para ativar a conta e ver todas as mensagens. No WhatsApp,
mesmo que voc� tenha acesso � linha, voc� ainda ter� que conseguir acesso ao backup
das mensagens da v�tima � e pode ser que a v�tima nem tenha feito esse backup",
explica Altieres.

Para Altieres, a decis�o de usar o Telegram no lugar do WhatsApp por motivos de

seguran�a "n�o tem muitos fundamentos na realidade".

Mas h� maneiras de aumentar a seguran�a dos dois aplicativos (veja ao final da

reportagem).

Criado em 2013 na R�ssia, o Telegram ganhou notoriedade justamente porque, al�m de

prometer sigilo, � um dos aplicativos mais r�pidos na entrega de mensagens.

Como o Telegram pode ter sido invadido?

Segundo especialistas em seguran�a, h� maneiras para tentar invadir uma conta do
Telegram. Dentre elas, est�o:

Com c�digo de ativa��o � o invasor acessa pessoalmente um celular ou um computador

que esteja vulner�vel e desbloqueado (mas � preciso que eles j� estejam conectados
ao Telegram);
Com o n�mero de telefone obtido na operadora � neste caso, o invasor se passa pelo
dono da linha telef�nica e tenta conseguir um novo chip para aquele n�mero;
Com invas�o do computador ou celular � aqui, o hacker envia algum tipo de programa
malicioso, em um e-mail falso, por exemplo, e ent�o consegue acesso remoto �
m�quina ou aparelho a ser invadido.
A invas�o de Telegram com uso do c�digo de ativa��o � uma das mais simples e tem
tr�s etapas principais:

Primeiro, o hacker precisa ter acesso a um computador ou celular vulner�vel, quer

dizer, com o Telegram aberto e em funcionamento mas sem a presen�a do dono da
conta;
Em seguida, o hacker tenta entrar, com um novo aparelho, naquele Telegram a ser
invadido. Diante disso, o aplicativo envia um c�digo dentro do pr�prio aplicativo;
Por fim, o hacker usa esse c�digo para autenticar o acesso em um novo aparelho.
J� as outras duas maneiras de invadir requerem algum tipo de conhecimento t�cnico.

Para obter o n�mero de telefone com a operadora, � preciso aplicar o golpe

conhecido como SIMSwap. Nesse caso, o hacker precisa utilizar t�cnicas de
engenharia social para se passar pelo dono da conta na operadora de telefonia e
solicitar a mudan�a do n�mero para um novo chip. De posse do n�mero, � f�cil ter
acesso � conta do Telegram, que pode enviar um c�digo de acesso por aplicativo ou
por SMS.

Isso tamb�m acontece no WhatsApp, com a diferen�a de que o c�digo � enviado

diretamente por SMS. Assim, quem tiver o n�mero de telefone habilitado consegue ter
acesso a ele.

J� a��o de hackear o computador ou celular pode ser feita por meio do envio de um
e-mail de "phishing" para a v�tima, por exemplo. Esse tipo de mensagem se passa por
real e confi�vel, mas na realidade cont�m um software maligno escondido, que pode
instalar um programa espi�o no aparelho.

Como um hacker poderia ter tido acesso a conversas antigas?

Todas as conversas feitas no Telegram aparecem sempre que um novo celular, tablet
ou computador acessa a conta. Isso porque as mensagens ficam guardadas em um
servidor, e n�o no celular do usu�rio. Essa � a diferen�a principal entre o
aplicativo e o WhatsApp.

No WhatsApp, as conversas ficam salvas no aparelho, e o usu�rio pode fazer backup

dessas informa��es e salvar em servi�os de nuvem. J� o Telegram funciona
diretamente em uma nuvem, que est� ligada aos servidores da empresa.

"O procurador [Dallagnol] poderia ter utilizado um chat secreto do Telegram, que
permite apagar as mensagens automaticamente e tem um protocolo pr�prio de
criptografia [t�o seguro] que o Telegram oferece US$ 300 mil para quem conseguir
quebrar", afirma Danilo Barsotti, diretor de ciberseguran�a e computa��o em nuvem,
da empresa de servi�os digitais InMetrics.

De acordo com o especialista, o Telegram conta com mais funcionalidades de

seguran�a que o WhatsApp. Mas, para utilizar todas elas, � preciso configurar uma a
uma e ativar uma senha de seguran�a, que impediria que uma nova sess�o fosse
iniciada sem a senha.

"� a mesma l�gica do internet banking", explica Barsotti em entrevista ao G1. "O
sistema banc�rio no Brasil � um dos mais avan�ados quando � utilizado da maneira
correta, com token, seguindo as orienta��es do banco. Aparentemente eles n�o
estavam usando as ferramentas de seguran�a do aplicativo".

O especialista completa: "Outra possibilidade � o hacker ter instalado um

aplicativo espi�o, o que seria um ataque direcionado e exigiria um alto
conhecimento do hacker".

Como funciona o chat secreto do Telegram

Convite de usu�rio do Telegram para chat secreto � Foto: Reprodu��o/G1 Convite de
usu�rio do Telegram para chat secreto � Foto: Reprodu��o/G1
Convite de usu�rio do Telegram para chat secreto � Foto: Reprodu��o/G1

Mensagens trocadas nesse chat privado n�o ficam gravadas no servidor do app, o que
significa que elas n�o ir�o mais aparecer quando uma nova sess�o for conectada �
conta.

Tamb�m � poss�vel ativar uma esp�cie de cron�metro, que apaga as mensagens enviadas
alguns segundos ap�s ela ter sido lida pelo destinat�rio. As mensagens apagadas n�o
ficam nos servidores da empresa.

Mas essa garantia s� existe se a pessoa iniciar a conversa no chat privado. Todas
as outras conversas � normais ou em grupo � ficam armazenadas na nuvem e podem ser
acessadas por uma nova sess�o do aplicativo.

Para essa fun��o ser ativada, o usu�rio tem que convidar outra pessoa para
participar da conversa e ela precisa aceitar. Veja algumas das funcionalidades do
chat secreto do Telegram:

Ele � totalmente criptografado e, segundo o aplicativo, n�o deixa vest�gios nos

servidores da empresa;
Pode-se determinar uma quantidade de tempo para que a mensagem seja apagada
automaticamente, logo ap�s a visualiza��o;
� imposs�vel encaminhar mensagens desse chat privado para pessoas fora dele;
Se for feita uma captura de imagem da tela, o aplicativo vai avisar na conversa que
isso foi feito;
O chat privado abre uma janela nova com uma pessoa. Ent�o, � poss�vel ter dois
chats com a mesma pessoa ao mesmo tempo: o normal e o privado;
Embora o Telegram permita a cria��o de grupos com at� 200 mil participantes, n�o �
poss�vel criar um grupo em chat secreto.
Mas, de novo, se voc� n�o iniciar a conversa usando a fun��o "chat secreto", as
mensagens do Telegram n�o est�o completamente protegidas. Elas ficam salvas e podem
ser lidas por qualquer pessoa que conseguir iniciar uma sess�o no aplicativo.

Seguran�a e senhas
Diferentemente do WhatsApp, o Telegram permite que v�rios aparelhos estejam ativos
ao mesmo tempo numa mesma conta � e que cada um deles tenha acesso ao hist�rico de
mensagens. Um usu�rio que estiver sem bateria no celular, por exemplo, conseguiria
ainda assim usar o Telegram Web, caso se ele j� estiver logado no computador. Isso
n�o � poss�vel no caso do WhatsApp Web.

� uma solu��o c�moda, pois permite continuar, em outro aparelho, uma conversa
iniciada em um celular ou mesmo num computador ou tablet. Mas, justamente por isso,
� pouco segura.

Telegram permite acesso simult�neo em v�rios dispositivos � Foto: Reprodu��o/G1

Telegram permite acesso simult�neo em v�rios dispositivos � Foto: Reprodu��o/G1
Telegram permite acesso simult�neo em v�rios dispositivos � Foto: Reprodu��o/G1

Quando uma nova sess�o � solicitada no Telegram, o aplicativo envia uma mensagem,
dentro do pr�prio Telegram, para a conta com um n�mero de autentica��o. Depois, �
poss�vel solicitar o envio do c�digo por SMS. J� o Whatsapp envia apenas o c�digo
por SMS.

Tanto o Telegram quanto o WhatsApp podem ser protegidos adicionalmente com a

autentica��o em dois fatores.

Com essa fun��o ativada, no menu de privacidade dos aplicativos, � poss�vel

configurar uma senha extra, que ser� pedida toda vez que algu�m tentar se conectar
a uma conta do WhatsApp ou do Telegram.

A exist�ncia dessa senha impede que algu�m que s� tenha o c�digo enviado por SMS
consiga acessar uma conta, pois teria que saber tamb�m qual � a senha.
Como aumentar a prote��o usando o Telegram ou o WhatsApp?
Al�m de utilizar o chat secreto, � recomendado criar uma senha para fazer a
autentica��o em dois fatores. Isso pode ser feito na aba "privacidade e seguran�a"
do Telegram. Essa fun��o tamb�m pode ser instalada no WhatsApp.

Senha de verifica��o do Telegram aumenta seguran�a do aplicativo. � Foto:

Reprodu��o/G1 Senha de verifica��o do Telegram aumenta seguran�a do aplicativo. �
Foto: Reprodu��o/G1
Senha de verifica��o do Telegram aumenta seguran�a do aplicativo. � Foto:
Reprodu��o/G1

Na aba de privacidade do Telegram, tamb�m � poss�vel fazer outras defini��es como

quem pode ver se voc� est� online, a sua foto de perfil ou seu n�mero de telefone.
Tamb�m � poss�vel definir um tempo para que todas as informa��es sejam deletadas,
caso a conta fique inativa.

Menu de privacidade do Telegram permite configurar quem pode adicionar usu�rio em

grupos ou ver informa��es pessoais. � Foto: Reprodu��o/G1 Menu de privacidade do
Telegram permite configurar quem pode adicionar usu�rio em grupos ou ver
informa��es pessoais. � Foto: Reprodu��o/G1
Menu de privacidade do Telegram permite configurar quem pode adicionar usu�rio em
grupos ou ver informa��es pessoais. � Foto: Reprodu��o/G1

No WhatsApp, a senha de seguran�a pode ser ativada nas configura��es, clicando nas
"Configura��es", depois em "Conta", depois em "Autentica��o em duas etapas".

� poss�vel ativar autentica��o em duas etapas tamb�m no WhatsApp. � Foto:

Reprodu��o/G1 � poss�vel ativar autentica��o em duas etapas tamb�m no WhatsApp. �
Foto: Reprodu��o/G1
� poss�vel ativar autentica��o em duas etapas tamb�m no WhatsApp. � Foto:
Reprodu��o/G1

O que � o Telegram?
O Telegram foi criado em 2013 pelos irm�os Nikolai e Pavel Durov, fundadores da
rede social VKontakte, o Facebook da R�ssia. Ap�s a compra for�ada dessa rede
social pelo grupo Mail.ru, ligado ao governo russo, Pavel Durov deixou o pa�s e
usou os US$ 260 milh�es que recebeu na opera��o para fundar o Telegram.

A iniciativa de criar um app que permitisse a troca de mensagens protegidas dos

espi�es russos foi uma esp�cie de repres�lia ao Kremlin. E a R�ssia baniu o
aplicativo no territ�rio nacional.

O Telegram ganhou notoriedade porque, al�m de prometer sigilo, � um dos mais

r�pidos na entrega de mensagens. Ele tem servidores em diferentes partes do mundo.
Conquistou rapidamente 100 mil usu�rios ativos e, em apenas um ano, superou a marca
de 15 milh�es de usu�rios. Em mar�o de 2018, o Telegram divulgou ter ao menos 200
milh�es de usu�rios ativos.

Por outro lado, justamente por ser de dif�cil intercepta��o, o Telegram tamb�m
acaba sendo usado por grupos que agem fora da lei, como organiza��es terroristas.

Ele tamb�m se beneficia da preocupa��o de quem n�o v� com bons olhos o fato de o
WhatsApp pertencer ao Facebook, empresa que sobrevive com a venda de publicidade.
Isso porque n�o fica claro at� que o ponto a empresa usa os dados, h�bitos e
conte�do das conversas para faturar.

O que diz o Telegram

Procurado pelo G1, o Telegram afirmou, em nota, que o aplicativo protege as
mensagens tanto no envio quando no armazenamento nos servidores da empresa.

Leia, abaixo, o comunicado do Telegram:

"O Telegram protege as mensagens durante o envio e enquanto elas estiverem

armazenadas na nuvem.

Nos 6 anos de nossa exist�ncia, n�s compartilhando 0 byte de dados com terceiros �
raz�o pela qual o Telegram � bloqueado na China, na R�ssia e no Ir�.

Apesar de um pesado escrut�nio, nenhuma maneira de corromper a encripta��o do

Telegram foi descoberta. O c�digo dos aplicativos � aberto e dispon�vel para estudo
e consulta, assegurando que n�o existem surpresas ocultas.
As duas maiores possibilidades para o que pode ter acontecido no Brasil s�o:

Os telefones foram comprometidos com malware de outra fonte. Nenhum aplicativo pode
proteger seus dados se seu aparelho estiver comprometido.
Os n�mero de telefone dos usu�rios foram comprometidos, ou as SMS foram
interceptadas para conseguir os c�digos de login do Telegram. Se voc� estiver
preocupado com a seguran�a da sua conta do Telegram, n�s recomendamos proteger o
login SMS com uma senha".