Mercado abrirá em 7 h 52 min
  • BOVESPA

    108.095,53
    +537,86 (+0,50%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.056,27
    +137,99 (+0,27%)
     
  • PETROLEO CRU

    73,03
    +0,67 (+0,93%)
     
  • OURO

    1.784,40
    -1,10 (-0,06%)
     
  • BTC-USD

    49.721,95
    -554,49 (-1,10%)
     
  • CMC Crypto 200

    1.301,85
    -3,27 (-0,25%)
     
  • S&P500

    4.701,21
    +14,46 (+0,31%)
     
  • DOW JONES

    35.754,75
    +35,32 (+0,10%)
     
  • FTSE

    7.337,05
    -2,85 (-0,04%)
     
  • HANG SENG

    24.226,87
    +230,00 (+0,96%)
     
  • NIKKEI

    28.849,70
    -10,92 (-0,04%)
     
  • NASDAQ

    16.395,75
    +3,50 (+0,02%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2772
    +0,0031 (+0,05%)
     

Grupos secretos do Telegram estão sendo indexados pelo Google — e isso não é bom

·3 min de leitura

O Telegram é constantemente encarado como uma alternativa mais segura ao WhatsApp, respeitando mais a privacidade do usuário — mas isso não significa que ele não possa sofrer com brechas e vulnerabilidades estruturais. O hacker ético e analista de segurança da informação Kauê Navarro entrou em contato com o Canaltech para demonstrar que o Telegram possui um problema bastante grave e que poderia ser resolvido rapidamente.

O problema é que grupos e canais do aplicativo — até mesmo aqueles que deveriam ser privados, permitindo a entrada somente de quem possuir o link de convite — estão sendo indexados pelo Google, sendo possível encontrá-los através de um “dork” em particular. Dork é o nome dado para um conjunto de “strings” ou comandos usado no motor de busca para encontrar um tipo bem específico de conteúdo.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

No caso, a dork em questão é simples e possui três variantes. Usar “ inurl:"t.me" intext: "group" intitle:"palavra-chave do grupo" “ retorna resultados de grupos com aquela palavra-chave; trocando a parte “ intext:”channel” “, você encontra canais; por fim, ao usar “ intext:”joinchat” “, é possível obter links de convites para salas de bate-papo privadas. Como se os diversos exemplos cedidos por Kauê não bastassem, o Canaltech fez suas próprias buscas e constatou a facilidade de detectar esses conteúdos.

Está tudo exposto!

Encontramos de tudo — desde fã-clubes destinados a smartphones da fabricante Pocophone, grupos de discussões de política, comunidades para compartilhamento de conteúdo sexual, fóruns de cibercriminosos com ensinamentos sobre como burlar sistemas e muito mais. A criatividade é o limite na hora de editar a dork e encontrar salas que definitivamente deveriam ser privadas, mas que qualquer pessoa pode entrar.

Percebendo a facilidade de se identificar esse tipo de conteúdo, Kauê chegou a escrever um web crawler (sistema que explora a web e “fisga” materiais para os quais ele foi programado) para listar grupos válidos. Ele percebeu ainda que o Telegram possui uma estrutura específica para nomear as comunidades (um identificador único formado por letras e números), sendo razoavelmente fácil usar força bruta para listar canais válidos.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

“Com isso, consegui localizar vários grupos que estão indexados e podem conter informações confidenciais dos participantes, como senhas, números de cartão de crédito e outros. Informo também que os grupos privados podem ser acessados através de força bruta usando uma função aleatória como base para gerar um hash similar, usando caracteres para gerar uma lista com no mínimo 16 caracteres e no máximo 21 caracteres”, explica.

Caso similar

Se a denúncia lhe parece familiar, saiba que isso não é delírio da sua cabeça. De fato, em fevereiro de 2020, noticiamos um problema similar no WhatsApp — um pesquisador descobriu que era possível encontrar grupos secretos no aplicativo usando uma dork no Google.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

Além de entrar em comunidades sensíveis e espionar segredos alheios, o caso era ainda mais grave se levarmos em conta que o app gerenciado pelo Facebook exibe o número de telefone de todos os usuários — sobre isto, pelo menos, o Telegram está a salvo.

Kauê tentou reportar a falha ao Telegram no início de março, mas sem sucesso. O Canaltech também acionou a assessoria de imprensa do mensageiro, mas não obteve resposta até a conclusão desta reportagem.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos