Hackers alemães demonstram como grampear um telefone nos EUA

Uma interessante matéria da The Hacker News cita que hackers na Alemanha conseguiram gravar dados e voz de um smartphone localizado nos EUA (e de um Congressista!), devido a falhas no protocolo SS7 (Signalling System Seven) - protocolo este utilizado por mais de 800 operadoras em todo o mundo - e isso foi demonstrado no ""

Karsten Nohl, do German Security Research Labs, com autorização do congressista, conseguiu interceptar e gravar conversas, textos de mensagens e até mesmo localizar o aparelho geograficamente.

Sua recomendação final? Utilizar programas de criptografia "end-to-end" tanto para textos quanto para voz - o que faria todo o tráfego ser protegido, apesar de utiliar a banda de dados para tal.

A questão que sempre levanto nestes casos é:

1- Como garantir que as bibliotecas de criptografia utilizadas em todas as soluções são realmente seguras? Todos utilizam AES e/ou trocas de chaves assimétricas que são obtidas através das próprias linguagens de programação (ou, na melhor hipótese, utilizando funções destas).

2- Entendo que o AES não é seguro, na medida que não impediu a NSA de bisbilhotar segredos em todo o mundo. E a troca de chaves assimétricas já se provou ineficaz em ataques do tipo MITM (Man-in-the-Middle), onde a troca é interceptada e monitorada por aplicativos específicos e colocados no caminho.

3- Em tempos de "Estado Islâmico", "Boko-Haram", "Al-Quaeda" e vários outros, é lícito supor que existam mecanismos - até desconhecidos - que vulnerabilizem tais aplicativos, como forma de proteção de Estados e pessoas.

4- Lembro que algoritmos seguros podem ser implementados de forma insegura, vulnerabilizando todo o processo. E podem também trabalhar de forma insegura, acarretando as mesmas consequências. O fato de se utilizar um "algoritmo seguro" não se traduz, por si só, em segurança de fato.