No Telegram está circulando uma notícia sobre uma nova vulnerabilidade — sem pânico
Muitos canais começaram a divulgar a notícia de que teria surgido no Telegram uma “vulnerabilidade extremamente perigosa” chamada EvilLoader. Uma variante dessa vulnerabilidade já era conhecida desde julho do ano passado. O mensageiro já resolveu esse problema, e a correção para mensagens existentes deve chegar em uma atualização do aplicativo nos próximos dias.
O erro dos desenvolvedores do Telegram permitia que um invasor disfarçasse uma página web ou outro arquivo como um vídeo “corrompido”, que o mensageiro sugeriria abrir no navegador. Um usuário desatento poderia seguir instruções da página e, por exemplo, instalar um malware ou fornecer seus dados de login.
Essa “vulnerabilidade” não permite invadir o usuário de forma invisível nem roubar dados automaticamente. Ela apenas facilita um pouco a engenharia social, explorando a curiosidade do usuário em tentar abrir um vídeo “quebrado”. Trata-se apenas de um entre muitos métodos semelhantes de enganar pessoas: golpistas também se passam por suporte técnico, enviam alertas falsos de login, mensagens sobre presentes ou pedem login em sites falsos disfarçados de pesquisas.
A redação do @tginfo recomenda:
• Se, em vez de um player de vídeo externo, abrir outra coisa, como um navegador, feche imediatamente.
• Seja cético em relação a mensagens de contas desconhecidas. Ignore mensagens inesperadas sobre presentes, logins ou pesquisas que pedem para “confirmar algo” ou “entrar na conta”, mesmo que venham de contatos conhecidos — eles podem ter sido comprometidos.
• Se você receber mensagens estranhas, avisos incomuns ou algo parecer suspeito, não hesite em perguntar a pessoas mais experientes ou no @tginfochat.
• Certifique-se de que o Play Protect esteja ativado no seu Android. Não ignore os avisos desse sistema ao instalar aplicativos.
• Leia as recomendações do Google sobre como identificar golpes. Nunca conceda permissões de administrador ou outras permissões sensíveis a aplicativos.
• Não faça login na sua conta do Telegram fora do aplicativo oficial.
• Se usar o mensageiro no navegador, sempre verifique se o domínio é telegram.org.
Recomendamos também a leitura de nossos artigos sobre como ocorrem invasões e como proteger sua conta.
