Respondendo a um rapaz do Twitter
@gabriel.Esse artigo serve para explicar o porquê de alguns argumentos usados por um rapaz no Twitter sobre a segurança do Telegram estão errados.
Tentarei mostrar cada um dos argumentos da forma mais simples possível e explicar porque estão errados:
Argumento 1
Ele argumenta que o Telegram usaria SHA-1 como criptografia.
Errado. O Telegram já usa SHA-256 como criptografia padrão em todos os clientes oficiais.
Telegram só usa SHA-1 (se não me engano) em algumas partes da antiga versão do Telegram Web.
Porém nova versão do Telegram Web baseada em React também já usa SHA-256.
Argumento 2
O argumento dele foi:
"Se o Telegram envia o código de confirmação por SMS então a TIM/Claro/Vivo conseguiriam acessar a sua conta."
É só ativar verificação em duas etapas que você está protegido.
Argumento 3
Ele argumenta que apenas os chats secretos possuem criptografia ponta a ponta.
É, realmente, não existe a opção de criar grupos com criptografia ponta a ponta no Telegram.
Para isso existem os chats secretos.
Argumento 4
O argumento dele foi:
"Se eu conseguir descobrir o Token de um bot no Telegram eu consigo ver as mensagens que você enviou para aquele Bot"
E se eu tiver as chaves da sua casa eu posso entrar nela... Só que eu não tenho...
Mas essa eu vou deixar o próprio Markus Ra responder:
https://telegra.ph/Telegram-Bot-Keys-01-17
A criptografia que os bots para se comunicar com o servidor do Telegram é a do HTTPS. A mesma criptografia é usada por Telegram, Slack, Discord, Kik, Messenger, Google, Facebook, todos os sites de Bancos, a maioria dos sites da internet, etc.
A Forcepoint não conseguiu quebrar a HTTPS, eles apenas informaram que "se eles conseguissem quebrar, eles descobririam o token de um bot no Telegram".
Como Markus informou, se você conseguir quebrar a HTTPS, sugiro que vá ao banco mais próximo e transfira alguns bilhões para sua conta corrente.
Argumento 5
O argumento dele foi:
"Ah, se alguém olhar as notificações de quando você ficou online ela vai saber quando você esteve online..."
Eu não entendo nem como que alguém pode achar que isso é uma vulnerabilidade. Mas se você achar, é só ocultar o "visto por último".
Argumento 6
O argumento dele foi:
"Será que a source que eles colocam no github é a mesma que eles colocam na Playstore?"
Sim. O código Java pode ser descompilado. É só você descompilar o código do app da Playstore e verá que é exatamente igual.
Argumento 7
O argumento dele foi:
"Se você usar clientes feitos por terceiros, o desenvolvedor do cliente poderia ler suas mensagens."
Só não usar clientes de terceiros. Durov sempre falou que só garante a segurança do Telegram em clientes oficiais.
Argumento 8
Verdade o código do servidor do Telegram é fechado. E isso pode ser considerado, para alguns, um problema (na verdade esse é o único problema que ele citou).
O problema é que, ser closed source é o que torna manter as conversas na nuvem possível.
Manter o código do servidor fechado é necessário para manter todo o ecossistema do Telegram na nuvem.
A diferença está no fato de que, mantendo as mensagens salvas na nuvem faz com que o Telegram tenha muito mais recursos disponíveis que o Signal, a saber:
1) Sincronização das conversas entre multiplos aparelhos em multiplas plataformas
2) Histórico de mensagens salvo na nuvem
3) Arquivos de até 1.5gb na nuvem
4) Canais com número infinito de inscritos
5) Grupos de até 200.000 participantes
6) Velocidade muito maior no envio de mensagens, já que o Cliente só precisa trocar chaves de criptografia com o servidor, e não com todos os participantes dos grupos. É por isso que o Telegram é muito mais rápido que o Signal e é por isso que é impossível pro Signal ter grupos com 200.000 participantes.
7) Streammimg de audio e vídeo
8) Mtproto proxy
9) InstantView (padrão em mais de 5 mil chats e com possibilidade de ser criado por qualquer pessoa para Qualquer site da internet)
10) Mostrar conteúdo de canais públicos diretamente no navegador
11) Ir diretamente para uma mensagem de um grupo clicando em um link
12) Usar o Telegram como forma de se conectar em websites
13) Buscador global de chats/canais públicos
14) Possibilidade de editar mensagens a qualquer tempo em grupos
15) Sticker Packs sem a necessidade de baixar outros apps
16) Sticker packs padrões em cada grupo
17) Saber de quem uma mensagem foi encaminhada
18) Possibilidade de proteger seu IP em ligações VoIP (no Signal eu consigo descobrir sua localização com uma simples ligação)
19) Gerenciador automático de cachê
20) Integração ao IFTTT
21) Rascunhos de mensagens sincronizados entre dispositivos
22) Possibilidade de traduzir seu cliente Telegram para qualquer linguagem da face da Terra e atualizar essa tradução no dispositivo de todas as pessoas que a usam, em tempo real.
Signal nunca terá qualquer um desses recursos porque todos são dependentes da nuvem.
Isso sem falar de todos os outros recursos que Telegram possui que não são dependentes da tecnologia em nuvem como: bots, nomes de usuário, deletar mensagens nos dispositivos de outras pessoas sem limite de tempo, suporte a HTTP(s) / socks5 proxy, possibilidade de criar seus próprios temas, suporte a múltiplas contas em apenas um aplicativo, gerenciar permissões de membros, enquetes, suporte ao GDPR, criar contas em corretoras com o Telegram Passport, escutar áudios/músicas com velocidade 2x, compartilhar números de contatos usando vCard, modo noturno automático, múltiplas fotos de perfil, mensagens fixadas, modo PIP para vídeos (incluindo YouTube, Vimeo, Sound cloud, Deezer, Spotify e vários outros), desaparecimento automático de mídia, servidores descentralizados com suporte a aceleramento do download e upload de arquivos através de CDNs, aba de ações recentes para administradores, notas de vídeo, Telescope, pagamentos diretamente por bots, ocultar "visto por último", controle de quem pode lhe ligar, encaminhar suas mensagens e ver sua foto de perfil, aplicativos para smartwatches, gerenciador de download automático de mídias, gerenciador de cachê, compartilhar sua conta através de links t.me, modo anônimo automático em chats secretos (Se você usar o Gboard, a Google vai saber de tudo o que você digita nos chats e2e do Signal, ao contrário do que ocorre nos chats secretos do Telegram), pesquisa rápida de gifs e fotos na internet, senha no aplicativo, API Pública do Telegraph (nem precisa ter Telegram pra criar ou ler artigos no Telegraph), compressão de vídeo muito superior ao do Signal, editor de imagens com suporte a máscaras e stickers, plataforma de jogos com HTML5 (tenta criar teu grupo de joguinhos lá no Signal), dentre vários outros recursos que muito provavelmente nunca irão existir no Signal.
A pergunta é: Você prefere um mensageiro todos esses recursos? Ou prefere, apenas, um mensageiro com o código aberto do lado do servidor?
- Se a resposta for "um mensageiro com código aberto do lado do servidor", realmente, o Signal é a melhor opção.
- Agora, se você prefere um mensageiro com todos os recursos acima, eu não preciso nem falar que o Telegram está a anos-luz de qualquer outro mensageiro disponível no mercado.