Esta semana, uma ordem judicial chamou a atenção da internet: o WhatsApp seria suspenso no Brasil inteiro até que a empresa resolvesse colaborar com investigações da polícia de Teresina, no Piauí. A ordem judicial foi cassada, mas causou pânico entre quem depende do WhatsApp: milhões de brasileiros criaram conta em serviços concorrentes, como o Telegram.
Isso acabou causando uma briga pública entre Viber – outro concorrente do WhatsApp – e Telegram. As acusações são fortes; vamos entendê-las mais a fundo.
A briga começou com este tweet:
Whatsapp pode ser bloqueado e Telegram cheio de problemas de segurança. Baixe o Viber e continue trocando msgs! https://t.co/FKJTYVs2xA
— Viber Brasil (@ViberBR) February 26, 2015
“Telegram cheio de problemas de segurança”? O serviço não gostou disso:
@ViberBR Tenha mais cuidado ao twittar. Não é bom espalhar falsos boatos para obter usuários. Tente ter grandes recursos em vez disso. 😉
— Telegram Brasil (@telegram_br) February 26, 2015
O Viber respondeu apontando para este post, que menciona o trabalho do israelense Zuk Avraham, dono da empresa de segurança digital Zimperium. No Twitter, o Telegram se defendeu:
@ViberBR @Tec_Mundo ——–> pic.twitter.com/YshI95VBCN
— . (@br3_help) February 26, 2015
E Pavel Durov, russo que fundou o Telegram, sugere que um processinho está por vir:
@mrternovoy Yes, our lawyers are dealing with this. Big companies should not be able to get away with spreading lies.
— Pavel Durov (@durov) February 27, 2015
Criptografia
Um dos diferenciais do Telegram é a promessa de que suas mensagens “são pesadamente criptografadas e podem se autodestruir”. Mas Zuk argumenta que é possível burlar essa criptografia.
Basicamente, o Telegram guarda as mensagens no seu smartphone em texto puro, sem criptografá-las: o app só as encripta ao enviá-las para seus contatos. Dessa forma, se um hacker tiver acesso ao seu celular, não será difícil bisbilhotar suas conversas.
Claro, isso não é tão simples. Zuk testou a invasão no Android 4.4 KitKat com root, e usou um site malicioso que se aproveita de uma falha no Chrome. Isso permite chegar a outra falha, desta vez no kernel do Linux (presente até a versão 3.14.5), que dá acesso a todos os arquivos do seu smartphone.
Um porta-voz do Telegram diz à PC World que esse ataque deixaria qualquer app vulnerável: “a fim de mostrar uma mensagem na tela, você precisa colocá-la na RAM do dispositivo. Um invasor com acesso root pode simplesmente ler a memória do seu dispositivo.”
De fato, Zuk demonstrou que consegue ler as mensagens na RAM:
