Em 15 de agosto, a equipe do Signal informou que hackers desconhecidos atacaram usuários do messenger. Explicamos por que esse incidente demonstra as vantagens do Signal sobre alguns outros mensageiros.
O que aconteceu?
De acordo com o comunicado divulgado pela Signal, o ataque afetou cerca de 1900 usuários do aplicativo. Dado que o público do Signal chega a mais de 40 milhões de pessoas ativas por mês, o incidente impactou apenas uma pequena parte do público. Dito isto, o Signal é usado predominantemente por aqueles que realmente se preocupam com a privacidade. Portanto, embora o ataque tenha afetado uma fração minúscula do público, ainda repercutiu no mundo da segurança da informação.
Como resultado do ataque, os hackers conseguiram fazer login na conta da vítima a partir de outro dispositivo ou simplesmente descobrir que o proprietário de tal e tal número de telefone usa o Signal. Entre esses 1900 números, os invasores estavam interessados em três especificamente, após o que o Signal foi notificado por um desses três usuários que sua conta havia sido ativada em outro dispositivo sem seu conhecimento.
Como isso aconteceu?
Nas páginas do Kaspersky Daily, falamos com frequência sobre o fato do Signal ser um aplicativo de mensagens instantâneas seguro e, no entanto, ter sido atacado com sucesso. Isso significa que sua renomada segurança e privacidade são apenas um mito? Vamos ver exatamente como foi o ataque e qual o papel que o Signal realmente desempenhou nele.
Vamos começar com o fato de que as contas do Signal, como, digamos, WhatsApp e Telegram, estão vinculadas a um número de telefone. Esta é uma prática comum, mas não universal. Por exemplo, o aplicativo Threema orgulhosamente afirma como um de seus pontos de venda que não vincula contas a números de telefone. No Signal, é necessário um número de telefone para autenticação: o usuário digita seu número de telefone, para o qual um código é enviado em uma mensagem de texto. O código deve ser inserido: se estiver correto, significa que o usuário é o proprietário do número.
O envio dessas mensagens de texto com códigos únicos é tratado por empresas especializadas que fornecem o mesmo método de autenticação para vários serviços. No caso da Signal, este provedor é Twilio — e é essa empresa que os hackers tinham com alvo.
O próximo passo foi o phishing. Alguns funcionários da Twilio receberam mensagens dizendo que suas senhas estavam supostamente expiradas e precisavam ser atualizadas. Para fazer isso, eles foram convidados a clicar em um link de phishing (isso mesmo). Um funcionário engoliu a isca, foi ao site falso e digitou suas credenciais, que caíram direto nas mãos dos hackers.
Essas credenciais deram a eles acesso aos sistemas internos do Twilio, permitindo que eles enviassem mensagens de texto aos usuários e as lessem. Os hackers então usaram o serviço para instalar o Signal em um novo dispositivo: eles inseriram o número de telefone da vítima, interceptaram o texto com o código de ativação e, voilà, entraram em sua conta do Signal.
Como este incidente prova a robustez do Signal
Então, acontece que mesmo o Signal não está imune a esses incidentes. Por que, então, continuamos falando sobre sua segurança e privacidade?
Em primeiro lugar, os cibercriminosos não tiveram acesso à correspondência. O Signal usa criptografia de ponta a ponta com o protocolo seguro do Signal. Ao usar criptografia de ponta a ponta, as mensagens do usuário são armazenadas apenas em seus dispositivos, não nos servidores da Signal ou em qualquer outro lugar. Portanto, simplesmente não há como lê-los apenas hackeando a infraestrutura do Signal.
O que é armazenado nos servidores do Signal são os números de telefone dos usuários, bem como os números de telefone de seus contatos. Isso permite que o aplicativo notifique quando um contato seu se inscrever no Signal. No entanto, os dados são armazenados, primeiro, em armazenamentos especiais chamados enclaves seguros, que nem mesmo os desenvolvedores do Signal podem acessar. E segundo, os próprios números não são armazenados em texto simples, mas na forma de um código hash. Esse mecanismo permite que o aplicativo Signal em seu telefone envie informações criptografadas sobre os contatos e receba uma resposta também criptografada sobre qual de seus contatos usa o Signal. Em outras palavras, os invasores também não conseguiram acessar a lista de contatos do usuário.
Por fim, devemos ressaltar que a Signal foi atacada na cadeia de suprimentos — por meio de um provedor de serviços menos protegido usado pela empresa. Este, portanto, é o seu elo fraco. No entanto, o Signal também tem proteção contra isso.
O aplicativo contém um recurso chamado Bloqueio de Registro (para ativar, vá para Configurações → Conta → Bloqueio de Registro), que requer que um PIN definido pelo usuário seja inserido ao ativar o Signal em um novo dispositivo. Por precaução, vamos esclarecer que o PIN no Signal não tem nada a ver com o desbloqueio do aplicativo – isso é feito da mesma forma que você usa para desbloquear seu smartphone.
Por padrão, o bloqueio de registro está desabilitado, como foi o caso de pelo menos uma das contas invadidas. Como tal, os cibercriminosos conseguiram realizar o ataque ao se passarem pela vítima do ataque por aproximadamente 13 horas. Se o bloqueio de registro estivesse ativado, eles não poderiam ter feito login no aplicativo sabendo apenas o número de telefone e o código de verificação.
O que pode ser feito para melhorar a proteção dos aplicativos de mensagens?
Resumindo: os invasores não hackearam o Signal em si, mas seu parceiro Twilio, dando-lhes acesso a 1900 contas, que usaram para fazer login em três delas. Além disso, eles não obtiveram acesso nem à correspondência nem à lista de contatos e só puderam tentar se passar pelos usuários das contas em que penetraram. Se esses usuários tivessem ativado o bloqueio de registro, os hackers nem isso poderiam ter feito.
E embora o ataque tenha sido formalmente um sucesso, não há motivo para se assustar e parar de usar o Signal. Continua sendo um aplicativo bastante seguro que oferece boa privacidade para suas mensagens, conforme demonstrado por este incidente de hacking. Mas você pode torná-lo ainda mais seguro:
- Ative o Bloqueio de registro nas configurações do Signal, para que os cibercriminosos não possam fazer login em sua conta sem conhecer seu PIN privado, mesmo que tenham o código único para ativar o Signal em um novo dispositivo.
- Leia nossa postagem no blog sobre como configurar privacidade e segurança no Signal e ajuste seu aplicativo. O Signal tem configurações básicas, bem como opções para os verdadeiramente paranóicos, que fornecem segurança extra ao custo de alguma usabilidade.
- E, claro, instale um aplicativo de segurança em seu smartphone. Se um malware entrar em seu dispositivo, nenhuma proteção do lado do Signal protegerá suas mensagens e lista de contatos. Mas se o malware não se instalar, ou pelo menos for detectado a tempo, não haverá ameaça aos seus dados.