{"id":19942,"date":"2022-09-06T12:03:18","date_gmt":"2022-09-06T15:03:18","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19942"},"modified":"2022-09-06T12:03:18","modified_gmt":"2022-09-06T15:03:18","slug":"signal-hacked-but-still-secure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/signal-hacked-but-still-secure\/19942\/","title":{"rendered":"Signal \u00e9 seguro. Quem comprova s\u00e3o os hackers."},"content":{"rendered":"

Em 15 de agosto, a equipe do Signal informou<\/a> que hackers desconhecidos atacaram usu\u00e1rios do messenger. Explicamos por que esse incidente demonstra as vantagens do Signal sobre alguns outros mensageiros.<\/p>\n

O que aconteceu?<\/h2>\n

De acordo com o comunicado divulgado pela Signal, o ataque afetou cerca de 1900 usu\u00e1rios do aplicativo. Dado que o p\u00fablico do Signal chega<\/a> a mais de 40 milh\u00f5es de pessoas ativas por m\u00eas, o incidente impactou apenas uma pequena parte do p\u00fablico. Dito isto, o Signal \u00e9 usado predominantemente por aqueles que realmente se preocupam com a privacidade. Portanto, embora o ataque tenha afetado uma fra\u00e7\u00e3o min\u00fascula do p\u00fablico, ainda repercutiu no mundo da seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n

Como resultado do ataque, os hackers conseguiram fazer login na conta da v\u00edtima a partir de outro dispositivo ou simplesmente descobrir que o propriet\u00e1rio de tal e tal n\u00famero de telefone usa o Signal. Entre esses 1900 n\u00fameros, os invasores estavam interessados \u200b\u200bem tr\u00eas especificamente, ap\u00f3s o que o Signal foi notificado por um desses tr\u00eas usu\u00e1rios que sua conta havia sido ativada em outro dispositivo sem seu conhecimento.<\/p>\n

Como isso aconteceu?<\/h2>\n

Nas p\u00e1ginas do Kaspersky Daily, falamos com frequ\u00eancia sobre o fato<\/a> do Signal ser um aplicativo de mensagens instant\u00e2neas seguro e, no entanto, ter sido atacado com sucesso. Isso significa que sua renomada seguran\u00e7a e privacidade s\u00e3o apenas um mito? Vamos ver exatamente como foi o ataque e qual o papel que o Signal realmente desempenhou nele.<\/p>\n

Vamos come\u00e7ar com o fato de que as contas do Signal, como, digamos, WhatsApp e Telegram, est\u00e3o vinculadas a um n\u00famero de telefone. Esta \u00e9 uma pr\u00e1tica comum, mas n\u00e3o universal. Por exemplo, o aplicativo Threema orgulhosamente afirma como um de seus pontos de venda que n\u00e3o vincula contas a n\u00fameros de telefone. No Signal, \u00e9 necess\u00e1rio um n\u00famero de telefone para autentica\u00e7\u00e3o<\/a>: o usu\u00e1rio digita seu n\u00famero de telefone, para o qual um c\u00f3digo \u00e9 enviado em uma mensagem de texto. O c\u00f3digo deve ser inserido: se estiver correto, significa que o usu\u00e1rio \u00e9 o propriet\u00e1rio do n\u00famero.<\/p>\n

O envio dessas mensagens de texto com c\u00f3digos \u00fanicos \u00e9 tratado por empresas especializadas que fornecem o mesmo m\u00e9todo de autentica\u00e7\u00e3o para v\u00e1rios servi\u00e7os. No caso da Signal, este provedor \u00e9 Twilio \u2014 e \u00e9 essa empresa que os hackers tinham com alvo.<\/p>\n

O pr\u00f3ximo passo foi o phishing. Alguns funcion\u00e1rios da Twilio receberam<\/a> mensagens dizendo que suas senhas estavam supostamente expiradas e precisavam ser atualizadas. Para fazer isso, eles foram convidados a clicar em um link de phishing (isso mesmo). Um funcion\u00e1rio engoliu a isca, foi ao site falso e digitou suas credenciais, que ca\u00edram direto nas m\u00e3os dos hackers.<\/p>\n

Essas credenciais deram a eles acesso aos sistemas internos do Twilio, permitindo que eles enviassem mensagens de texto aos usu\u00e1rios e as lessem. Os hackers ent\u00e3o usaram o servi\u00e7o para instalar o Signal em um novo dispositivo: eles inseriram o n\u00famero de telefone da v\u00edtima, interceptaram o texto com o c\u00f3digo de ativa\u00e7\u00e3o e, voil\u00e0, entraram em sua conta do Signal.<\/p>\n

Como este incidente prova a robustez do Signal<\/h2>\n

Ent\u00e3o, acontece que mesmo o Signal n\u00e3o est\u00e1 imune a esses incidentes. Por que, ent\u00e3o, continuamos falando sobre sua seguran\u00e7a e privacidade?<\/p>\n

Em primeiro lugar, os cibercriminosos n\u00e3o tiveram acesso \u00e0 correspond\u00eancia<\/strong>. O Signal usa criptografia de ponta a ponta<\/a> com o protocolo seguro do Signal<\/a>. Ao usar criptografia de ponta a ponta, as mensagens do usu\u00e1rio s\u00e3o armazenadas apenas em seus dispositivos, n\u00e3o nos servidores da Signal ou em qualquer outro lugar. Portanto, simplesmente n\u00e3o h\u00e1 como l\u00ea-los apenas hackeando a infraestrutura do Signal.<\/p>\n

O que \u00e9<\/em> armazenado nos servidores do Signal s\u00e3o os n\u00fameros de telefone dos usu\u00e1rios, bem como os n\u00fameros de telefone de seus contatos. Isso permite que o aplicativo notifique quando um contato seu se inscrever no Signal. No entanto, os dados s\u00e3o armazenados, primeiro, em armazenamentos especiais chamados enclaves seguros, que nem mesmo os desenvolvedores do Signal podem acessar. E segundo, os pr\u00f3prios n\u00fameros n\u00e3o s\u00e3o armazenados em texto simples, mas na forma de um c\u00f3digo hash. Esse mecanismo permite que o aplicativo Signal em seu telefone envie informa\u00e7\u00f5es criptografadas sobre os contatos e receba uma resposta tamb\u00e9m criptografada sobre qual de seus contatos usa o Signal. Em outras palavras, os invasores tamb\u00e9m n\u00e3o conseguiram acessar a lista de contatos do usu\u00e1rio.<\/strong><\/p>\n

Por fim, devemos ressaltar que a Signal foi atacada na cadeia de suprimentos \u2014 por meio de um provedor de servi\u00e7os menos protegido usado pela empresa. Este, portanto, \u00e9 o seu elo fraco. No entanto, o Signal tamb\u00e9m tem prote\u00e7\u00e3o contra isso.<\/p>\n

O aplicativo cont\u00e9m um recurso chamado Bloqueio de Registro (para ativar, v\u00e1 para Configura\u00e7\u00f5es \u2192 Conta \u2192 Bloqueio de Registro<\/em>), que requer que um PIN definido pelo usu\u00e1rio seja inserido ao ativar o Signal em um novo dispositivo. Por precau\u00e7\u00e3o, vamos esclarecer que o PIN no Signal n\u00e3o tem nada a ver com o desbloqueio do aplicativo \u2013 isso \u00e9 feito da mesma forma que voc\u00ea usa para desbloquear seu smartphone.<\/p>\n

\"Bloqueio

Bloqueio de Registro nas configura\u00e7\u00f5es do Signal<\/p><\/div>\n

Por padr\u00e3o, o bloqueio de registro est\u00e1 desabilitado, como foi o caso de pelo menos uma das contas invadidas. Como tal, os cibercriminosos conseguiram realizar o ataque ao se passarem pela v\u00edtima do ataque por aproximadamente 13 horas. Se o bloqueio de registro estivesse ativado, eles n\u00e3o poderiam ter feito login no aplicativo<\/strong>\u00a0sabendo apenas o n\u00famero de telefone e o c\u00f3digo de verifica\u00e7\u00e3o.<\/p>\n

O que pode ser feito para melhorar a prote\u00e7\u00e3o dos aplicativos de mensagens?<\/h2>\n

Resumindo: os invasores n\u00e3o hackearam o Signal em si, mas seu parceiro Twilio, dando-lhes acesso a 1900 contas, que usaram para fazer login em tr\u00eas delas. Al\u00e9m disso, eles n\u00e3o obtiveram acesso nem \u00e0 correspond\u00eancia nem \u00e0 lista de contatos e s\u00f3 puderam tentar se passar pelos usu\u00e1rios das contas em que penetraram. Se esses usu\u00e1rios tivessem ativado o bloqueio de registro, os hackers nem isso poderiam ter feito.<\/p>\n

E embora o ataque tenha sido formalmente um sucesso, n\u00e3o h\u00e1 motivo para se assustar e parar de usar o Signal. Continua sendo um aplicativo bastante seguro que oferece boa privacidade para suas mensagens, conforme demonstrado por este incidente de hacking. Mas voc\u00ea pode torn\u00e1-lo ainda mais seguro:<\/p>\n