Banner anúncio do Revelo UP, com o logo do programa e o texto 'Financiamento de curso em tecnologia' à esquerda, a frase 'Investir no seu futuro começa agora' no meio e, à direita, a palavra 'UP' vazada, com uma mulher pensativa no 'U' e um homem fazendo anotações no 'P'.

Explorando vulnerabilidades nos softwares da Cellebrite

Moxie Marlinspike, fundador do Signal e notório hacker, teve acesso aos softwares da Cellebrite, empresa israelense especializada em desbloquear celulares, incluindo iPhones — eles foram usados, por exemplo, para recuperar as conversas apagadas dos celulares da mãe e da empregada doméstica no caso do assassinato do menino Henry, no Rio, em março.

No relato, Moxie comenta que o software da Cellebrite está recheado de vulnerabilidades, e que uma delas, se explorada, é capaz de comprometer a integridade de todas as extrações, já feitas e futuras, a partir do software. Além disso, usa pedaços de código da Apple, provavelmente sem autorização. Em nota “totalmente não relacionada”, ele avisou que o Signal gerará arquivos periodicamente cuja função não tem a ver nem interfere no uso do app, mas que são bonitos, “e estética é importante em software”. Via Signal (em inglês).

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

10 comentários

  1. Para no mínimo ser seguro tem que ocultar o número e usar @ igual telegram.
    Só pra começar…
    Que tipo de whatsapp 2 deixa o número visível pra qualquer estranho ver

  2. A história foi a seguinte:
    A Cellebrite faz varredura forense em Android e Iphone.
    E eles disseram que conseguem fazer varredura no Signal.

    Alguém pode perguntar: – Mas Capitão Caverna, e a criptografia ponta-a-ponta?
    E eu respondo: – O seu smartphone é uma ponta. Então existem brechas a serem exploradas nele (fisicamente).
    Até aí tudo bem…

    Só que ao tentar hackear o Signal, a Cellebrite também mostra as suas entranhas e passa a ser hackeavel.
    E aí entra a parte que o Moxie falou, que se a Cellebrite continuar a tentar hackear o Signal, o Signal hackeará a Cellebrite.

    Sobre o texto que o Ghedin colocou: “No relato, Moxie comenta que o software da Cellebrite está recheado de vulnerabilidades, e que uma delas, se explorada, é capaz de comprometer a integridade de todas as extrações, já feitas e futuras, a partir do software.”

    Qual o problema disso?
    Bem, se o seu smartphone for hackeado pela Cellebrite, a sua defesa pode questionar os resultados obtidos, já que os dados da Cellebrite podem ser alterados pelo hackeamento.
    Assim abre-se um péssimo precedente contra a Cellebrite.

    – Capitão Caverna, então o Signal é falho, vamos para o Telegram!
    R: Não. O Telegram falha em privacidade e o Whatsapp falha em segurança.
    Hoje o Signal é quem melhor faz os dois serviços.

    1. O WhatsApp falha em privacidade E segurança. Mas o Telegram falha em privacidade por que?

      1. Pq o protocolo de criptografia do Telegram é o pior dos 3.
        Isso associado com chat na nuvem e criptografia ponta a ponta desativada por padrão é uma bomba relógio.

        O maior problema da segurança do WhatsApp é esse banco de dados cruzado com outros serviços do Facebook.
        E o WhatsApp é mais seguro sim que o Telegram. Infelizmente é difícil para as pessoas que se acham informadas aceitarem isso. Mas é a verdade.

        O único item que o Telegram é superior aos dois concorrentes é nas funcionalidades.

        1. PROTOCOLO
          Difícil falar que o protocolo é o pior dos 3 quando o do WhatsApp está indisponível para análise… No máximo dá pra dizer que é pior que o Signal e mesmo assim isso é discutível.

          MAIOR PROBLEMA DO WHATSAPP
          O maior problema do WhatsApp pare você pode até pode ser o banco de dados cruzado com o Facebook, mas esse nem de longe é o maior problema de segurança envolvido quando TUDO no WhatsApp já foi, em algum momento, uma porta para acessar não só as conversas do próprio WhatsApp mas o armazenamento do smartphone todo (uma ligação via zap que nem precisava ser atendida era o bastante para obter acesso ao dispositivo, por exemplo; mesma coisa com gifs, vídeos, contatos, etc). E mesmo se o WhatsApp fosse mais resistente, ainda seria o mais vulnerável por ser dependente de apps de terceiros para qualquer coisa mais elaborada, como adicionar figurinhas (mesmo se o WhatsApp fosse perfeito, um app de figurinhas pode não ser e esse apps são igualmente muito populares), fazer backups, usar proxy/vpn para furar bloqueios, etc. Sendo assim, mesmo se o WhatsApp fosse perfeito, sua dependência de apps de terceiros expõe os usuários a mais variada sorte de possibilidades de hack. Meu ponto é: um app que não consegue fazer tudo sozinho não pode ser analisado sozinho. Se ele precisa de terceiros e esses terceiros são igualmente populares, isso deve ser considerado na análise de risco.

          NUVEM – BOMBA RELÓGIO
          Esse, de fato, é o maior e melhor argumento contra o Telegram e concordo com você: a possibilidade da nuvem falhar. Mas, na minha opinião, a ponta mais fraca será sempre o usuário. Prova disso é que mesmo a criptografia ponta a ponta do WhatsApp não livra ninguém de vazamentos e hacks mais sofisticados, não é? Se criptografia P2P fosse o bastante por si só o WhatsApp não seria o fiasco que é no que se refere a segurança.
          Então, sim: a nuvem do Telegram é passível de invasão. E o que temos para confiar é somente o fato de que até hoje ela nunca foi violada (não que se saiba). E em tempos de computação em nuvem, usar como argumento matador o fato de o Telegram ser em nuvem não é muito convincente porque a nuvem do Telegram testemunha a favor da sua robustez.

          MINHA CONCLUSÃO
          A nuvem não é um problema, apenas a possibilidade dela falhar o é. E é para isso que os chats secretos existem: para suprir, nas palavras de Durov, os mais paranóicos.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Do NOT follow this link or you will be banned from the site!