O Telegram é um sistema móvel de troca segura de mensagens – “como o SMS, mas mais poderoso”. Através dele, é possível enviar mensagens de texto, imagens e vídeos pros seus contatos que também usam Telegram – a busca é automática, já que o Telegram usa o número do telefone em vez de um login.

O projeto é financiado por Pavel Durov, sem nenhuma intenção de lucro, com planos de receber doações se acabar o dinheiro.

Atualmente, há versões pra iOS, Android e GNU/Linux (linha de comando). Embora nem todos os componentes sejam livres, eles têm o protocolo e a API abertos, e disponibilizam o código-fonte dos aplicativos clientes – assim, uma pessoa interessada pode criar programas independentes que usem o protocolo e a infra-estrutura do Telegram.

Recentemente, Pavel Durov abriu um concurso oferecendo 200.000 BTC (bitcoins) pra quem conseguir quebrar o protocolo encriptado do Telegram, MTProto – ou seja, ler uma mensagem encriptada enviada de um celular pro outro.

Uma preocupação especial com o protocolo é que ele foi criado pelo próprio time do Telegram – e embora eles afirmem que as cifras matemáticas que são sua base são seguras, um dos princípios básicos da segurança é “não crie sua própria criptografia“.

As regras do concurso foram criticadas por Moxie Marlinspike, por serem muito restritivas, tornando muitas vulnerabilidades potenciais de fora do concurso. Marlinkspike é pesquisador de segurança que faz parte da Open WhisperSystems, desenvolvedora dos aplicativos RedPhone e TextSecure pra Android.

Uma pessoa da Rússia de codinome x7mz, por exemplo, conseguiu encontrar um problema fora do escopo do concurso: se o servidor do Telegram (que recebe e encaminha as mensagens entre os celulares) fosse comprometido, o invasor poderia minar a entropia das chaves secretas que cada celular gera no início de um chat.

Apesar do bug ser hipotético (o servidor do Telegram parece estar em boas mãos) e fora do escopo do concurso, o Telegram respondeu dando 100 BTC pra ”x7mz”. Nesse anúncio, eles também afirmam que prêmios semelhantes esperam quem encontrar outros bugs.

Na terça passada, o grupo de segurança de aplicativos móveis HackApp descobriu outro pequeno bug: pro usuário escolher sua geo-localização, o Telegram pra Android abre um mapa pelo Google Maps – através de uma conexão HTTP sem criptografia, vazando pra quem estiver por perto com um sniffer as coordenadas mostradas no mapa.

No mesmo dia, um dos desenvolvedores do Telegram consertou o erro, mudando a conexão pra HTTPS. Mas não houve prêmio pra essa descoberta.

Acesse outros conteúdos publicados na Edição #7 do Boletim Antivigilância através da tag “boletim7“