Mercado fechado
  • BOVESPA

    117.669,90
    -643,33 (-0,54%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    47.627,67
    -560,48 (-1,16%)
     
  • PETROLEO CRU

    59,34
    -0,26 (-0,44%)
     
  • OURO

    1.744,10
    -14,10 (-0,80%)
     
  • BTC-USD

    60.701,55
    +2.119,68 (+3,62%)
     
  • CMC Crypto 200

    1.235,89
    +8,34 (+0,68%)
     
  • S&P500

    4.128,80
    +31,63 (+0,77%)
     
  • DOW JONES

    33.800,60
    +297,03 (+0,89%)
     
  • FTSE

    6.915,75
    -26,47 (-0,38%)
     
  • HANG SENG

    28.698,80
    -309,27 (-1,07%)
     
  • NIKKEI

    29.768,06
    +59,08 (+0,20%)
     
  • NASDAQ

    13.811,00
    +63,25 (+0,46%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,7625
    +0,1276 (+1,92%)
     

Grupos secretos do Telegram estão sendo indexados pelo Google — e isso não é bom

Ramon de Souza
·3 minuto de leitura

O Telegram é constantemente encarado como uma alternativa mais segura ao WhatsApp, respeitando mais a privacidade do usuário — mas isso não significa que ele não possa sofrer com brechas e vulnerabilidades estruturais. O hacker ético e analista de segurança da informação Kauê Navarro entrou em contato com o Canaltech para demonstrar que o Telegram possui um problema bastante grave e que poderia ser resolvido rapidamente.

O problema é que grupos e canais do aplicativo — até mesmo aqueles que deveriam ser privados, permitindo a entrada somente de quem possuir o link de convite — estão sendo indexados pelo Google, sendo possível encontrá-los através de um “dork” em particular. Dork é o nome dado para um conjunto de “strings” ou comandos usado no motor de busca para encontrar um tipo bem específico de conteúdo.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

No caso, a dork em questão é simples e possui três variantes. Usar “ inurl:"t.me" intext: "group" intitle:"palavra-chave do grupo" “ retorna resultados de grupos com aquela palavra-chave; trocando a parte “ intext:”channel” “, você encontra canais; por fim, ao usar “ intext:”joinchat” “, é possível obter links de convites para salas de bate-papo privadas. Como se os diversos exemplos cedidos por Kauê não bastassem, o Canaltech fez suas próprias buscas e constatou a facilidade de detectar esses conteúdos.

Está tudo exposto!

Encontramos de tudo — desde fã-clubes destinados a smartphones da fabricante Pocophone, grupos de discussões de política, comunidades para compartilhamento de conteúdo sexual, fóruns de cibercriminosos com ensinamentos sobre como burlar sistemas e muito mais. A criatividade é o limite na hora de editar a dork e encontrar salas que definitivamente deveriam ser privadas, mas que qualquer pessoa pode entrar.

Percebendo a facilidade de se identificar esse tipo de conteúdo, Kauê chegou a escrever um web crawler (sistema que explora a web e “fisga” materiais para os quais ele foi programado) para listar grupos válidos. Ele percebeu ainda que o Telegram possui uma estrutura específica para nomear as comunidades (um identificador único formado por letras e números), sendo razoavelmente fácil usar força bruta para listar canais válidos.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

“Com isso, consegui localizar vários grupos que estão indexados e podem conter informações confidenciais dos participantes, como senhas, números de cartão de crédito e outros. Informo também que os grupos privados podem ser acessados através de força bruta usando uma função aleatória como base para gerar um hash similar, usando caracteres para gerar uma lista com no mínimo 16 caracteres e no máximo 21 caracteres”, explica.

Caso similar

Se a denúncia lhe parece familiar, saiba que isso não é delírio da sua cabeça. De fato, em fevereiro de 2020, noticiamos um problema similar no WhatsApp — um pesquisador descobriu que era possível encontrar grupos secretos no aplicativo usando uma dork no Google.

<em>Imagem: Captura de Tela/Canaltech</em>
Imagem: Captura de Tela/Canaltech

Além de entrar em comunidades sensíveis e espionar segredos alheios, o caso era ainda mais grave se levarmos em conta que o app gerenciado pelo Facebook exibe o número de telefone de todos os usuários — sobre isto, pelo menos, o Telegram está a salvo.

Kauê tentou reportar a falha ao Telegram no início de março, mas sem sucesso. O Canaltech também acionou a assessoria de imprensa do mensageiro, mas não obteve resposta até a conclusão desta reportagem.

Fonte: Canaltech

Trending no Canaltech: