‘Caso Moro’: falha pode afetar 59 milhões de celulares
O vazamento das conversas no Telegram entre o ministro da Justiça, Sergio Moro, e o procurador do Ministério Público Federal Deltan Dallagnol, coordenador da força-tarefa da Lava-Jato em Curitiba, e as tentativa de invasões de aparelhos de autoridades brasileiras, pode ter sido mais rudimentar do que se pensa. Inclusive, revelou, como descoberto pela reportagem de VEJA, uma vulnerabilidade de segurança em mais de 59 milhões de celulares brasileiros.
O passo a passo para a invasão: o criminoso, munido do número da vítima, acessa o Telegram e solicita que o código que permite entrar no mensageiro seja enviado por chamada telefônica. No momento do envio da senha, ocupa-se a linha do alvo com ligações, com a intenção de que a mensagem do app seja desviada para a caixa postal.
Nesse ponto, segundo a linha investigativa da policia federal, os hackers usaram um serviço de telefonia via internet do tipo VoIP, similar ao Skype, com uma função que permite mascarar o número de origem do telefonema pelo da vítima. Isso justificaria os relatos de vítimas (como Moro), que teriam recebido ligações vindas de seus próprios números de telefone.
Contudo, o pulo do gato está no próximo passo: a operadora Claro disponibiliza um número que permite aos clientes acessar o correio de voz de fora do país. Para fazê-lo basta ligar para +55 11 99462-0100, digitar o número que se quer ouvir a caixa de voz e uma senha. Por padrão descrito no próprio site da Claro, essa chave seria a sequência 3636 para todos os clientes que não teriam alterado a sequência. A partir daí, é possível ouvir a mensagem enviada pelo Telegram, permitindo o acesso ao app e a todos os arquivos, mídias e conversas da vítima, além de conseguir passar-se por ela.
Após descobrir a brecha, a reportagem de VEJA a testou na prática. Ao executar a técnica, foi possível interceptar mensagens enviadas para o aparelho hackeado. Mas, além disso, toda a conta do alvo foi comprometida. Ou seja, conseguia-se inclusive visualizar mensagens antigas da vítima. Não só as em formato textual, mas também as de áudio e imagens. Em tese, seria possível realizar o mesmo procedimento de invasão no Telegram de qualquer cliente Claro que não alterou ativamente a senha da caixa postal. Incluindo autoridades, como juízes, ministros e procuradores.
Fonte: MSN