Segurança em mensagens instantâneas: WhatsApp, Signal ou Telegram?

Por: Adolf Streda, pesquisador de malware da Avast

Há muito tempo, usávamos SMS para nos comunicarmos com os nossos amigos e familiares. O benefício dos aplicativos de mensagens multimídia nos afastou do serviço básico de texto de rede e nos aproximou dos apps que nos permitem não apenas bater papo online, mas também ligar, criar grupos, enviar fotos, áudios, GIFs, etc.

No entanto, em uma época em que o mundo digital pode oferecer a chave para o nosso sucesso ou fracasso, uma segurança rígida de tudo o que é enviado via internet, ou mesmo que trafega através da web, é essencial. À medida que vemos mais histórias na mídia sobre violações de dados e mensagens vazadas a cada semana, e à medida que as pessoas se tornam mais conscientes de sua privacidade e do que as empresas fazem com os seus dados, começamos a nos questionar sobre o quão seguro são os nossos meios de comunicação. Alguém lê os meus textos? Quão seguros são os aplicativos de mensagens e como exatamente eles funcionam?

WhatsApp e sua nova política

Recentemente, o WhatsApp se tornou o centro das notícias ao atualizar seus termos e condições de serviço, e política de privacidade. As mudanças incluídas sobre “como os dados do usuário serão tratados a partir de agora”, não foram recebidas pelos usuários do aplicativo de forma muito positiva. Os principais pontos de preocupação são as mudanças do WhatsApp nos seus termos em relação a “como as empresas podem utilizar os serviços hospedados no Facebook, para armazenar e gerenciar os seus chats”, bem como “como o WhatsApp e o Facebook se associam para oferecer integrações de produtos nas empresas Facebook”. Isso significa que o WhatsApp pode coletar dados como contatos, informações comerciais, identificadores de dispositivos, endereço IP (não rastreável, no caso de você usar uma VPN), além de outros dados diretamente vinculados com os seus usuários, dependendo do país.

Ver mais: Extensões de navegadores de terceiros do Instagram, Facebook, Vimeo e outros estão infectados com malware

Cerca de 72 horas após o anúncio dos novos termos do WhatsApp aos seus usuários, o Telegram relatou um aumento de 25 milhões de novos usuários, atingindo um total de 500 milhões de usuários em todo o mundo. Além disso, líderes de opinião influentes – como Julian Assange e Elon Musk -, estenderam suas recomendações para usar o Signal, um serviço criptografado de mensagens e multiplataforma com ênfase na privacidade e segurança.

Como resultado das preocupações levantadas pelos usuários do WhatsApp, a empresa fez uma declaração compartilhando que: o WhatsApp nunca irá ler conversas, ouvir chamadas ou compartilhar a localização de chats. Disseram ainda que não mantêm ou compartilham os registros sobre as pessoas, com quem interagem no WhatsApp e que também não os compartilham com o Facebook, inclusive que o seu uso é apenas interno para melhorar a experiência do chat. A empresa afirmou que os seus contatos são carregados nos servidores do WhatsApp, sem compartilhá-los com o Facebook.

Apesar deste comunicado, o número de pessoas migrando do WhatsApp não parece ter diminuído, então, o que o Signal e o Telegram fazem de diferente?

Como o Signal difere do Telegram e de outros aplicativos de mensagens instantâneas?

Atualmente, a maioria dos aplicativos de mensagens instantâneas usam métodos de criptografia de maneiras diferentes. Isso ajuda a manter as mensagens que você envia seguras e a garantir que ninguém mais possa ler as suas conversas. Quando um serviço de mensagens de texto usa criptografia de ponta a ponta, as informações enviadas são criptografadas desde o momento em que o usuário toca em ENVIAR, até o momento em que a outra parte as recebe em seu dispositivo. A criptografia ponta a ponta garante que os dados permaneçam criptografados até chegarem ao seu destino.

Ver mais: F5 lança soluções para infraestrutura 5G nativas da nuvem

A maior parte dos atuais apps mensageiros, como Allo, WhatsApp, Facebook Messenger e Skype, utiliza o chamado protocolo Signal (um protocolo criptográfico não federado, que pode ser usado para prover criptografia ponta a ponta às chamadas de voz, vídeo chamadas e conversas de mensagens instantâneas). No entanto, algumas plataformas, como o WhatsApp, sacrificam parte da segurança proporcionada pelo protocolo em nome de determinados recursos ou funções – por exemplo, quando um teclado GIF ou ferramentas semelhantes são incluídos usando um provedor de terceiros para o fornecimento, neste caso, de GIFs para comunicação ou backups das mensagens -, tornam a sua criptografia ponta a ponta incompleta.

O desenvolvimento do protocolo Signal foi iniciado pelo engenheiro de criptografia Trevor Perrin e Moxie Marlinspike, o criador do aplicativo que leva o mesmo nome. O fato de o criador do Signal ter sido uma das pessoas envolvidas no desenvolvimento do protocolo mais utilizado hoje, é o que torna este app tão popular entre a comunidade de cibersegurança, além dos seguintes fatores:

Em primeiro lugar, é muito fácil de usar e a sua funcionalidade é tão amigável quanto outras plataformas do mercado. Em segundo lugar, possui código aberto, o que significa que, se elementos defeituosos forem colocados em seu código, a violação será sinalizada e corrigida imediatamente pela comunidade de desenvolvedores do Signal. Terceiro, ao contrário de outros aplicativos, o Signal não apenas criptografa mensagens e chamadas, mas também metadados, mantendo as informações pessoais dos usuários seguras. A empresa provou isso em um caso de 2016, quando foi intimada para fornecer todos os tipos de informações digitais sobre um de seus usuários e não conseguiu atender à solicitação. Isso é porque os únicos dados mantidos pela empresa são a data de criação da conta e a data em que o usuário se conectou pela última vez ao servidor Signal. Em quarto lugar, o aplicativo é gratuito, roda em Android e iOS e não pode ser influenciado por nenhuma empresa comercial, pois trata-se de uma organização sem fins lucrativos e financiada por doações. Portanto, na atual era de preocupações e problemas de privacidade de dados, o Signal é a combinação perfeita em comparação com os outros aplicativos de mensagens instantâneas disponíveis.

O Telegram também oferece criptografia ponta a ponta, porém não o faz por padrão, sendo necessário usar o recurso de “bate-papo secreto” do Telegram para habilitar a criptografia completa. O sistema de mensagens de bate-papo na nuvem padrão do Telegram armazena mensagens e sua agenda de endereços nos servidores do Telegram, e os hospeda na nuvem. Isso significa que o Telegram pode obter acesso às suas mensagens e contatos.

O aplicativo utiliza o seu próprio protocolo denominado MTProto, em vez do protocolo Signal. Embora o protocolo em si não seja conhecido por ser vulnerável, algumas decisões incomuns foram tomadas com relação ao design do protocolo.

Dois exemplos dessas decisões incomuns são o uso do modo de criptografia Infinite Garble Extension (IGE) – não tão amplamente testado e, portanto, menos incentivado pela indústria de segurança – e o uso de MAC-then-encrypt (um tipo de criptografia que não impede que seja falsificável). Embora essas opções possam não ser ideais por si mesmas, o próprio MTProto (pelo menos a partir da versão 2.0, que tentou resolver os problemas levantados pelas auditorias de segurança da versão anterior) pode ser seguro o suficiente. No entanto, essas decisões de design ainda levantam dúvidas entre a comunidade de segurança, dando à Signal a vantagem em termos de proteção.

Além disso, o aplicativo também é gratuito e financiado por doações e você pode adicionar um usuário ao Telegram, sem precisar do número do telefone.

Tanto o protocolo signal usado pelo Signal, quanto o MTProto usado pelo Telegram (se a função de chat secreto estiver habilitada), fornecem “criptografia ponta a ponta”, o que significa que nem o provedor de serviços (sendo, por exemplo, o Telegram ou o Signal), nem a sua companhia telefônica, nem o governo podem ler as suas mensagens. Apenas o remetente e o destinatário estão habilitados a ter o acesso às mensagens de ambos.

Dicas para escolher seu aplicativo de mensagens instantâneas

Independentemente de qual aplicativo de mensagens instantâneas você decida utilizar ou qual deles funciona melhor para o seu estilo de vida, aqui estão algumas recomendações para ajudá-lo a escolher um app deste tipo que seja seguro, enquanto cuida da sua privacidade.

  • Certifique-se de que o seu serviço de mensagens instantâneas usa criptografia de ponta a ponta;
  • Reveja as políticas de privacidade e de segurança do serviço, verificando as configurações do aplicativo e o seu próprio dispositivo;
  • Seja analítico com as permissões que você concede. Você realmente precisa que a sua localização esteja sempre ativada?
  • Ative a verificação em duas etapas;
  • Revise e limite a visibilidade das suas informações apenas para os contatos, se for isso o que você deseja fazer;
  • Sempre mantenha o seu aplicativo de mensagens atualizado, pois isso reduz os riscos de possíveis violações de dados;
  • Alguns aplicativos permitem que você verifique a identidade do seu contato, comparando os códigos que o seu telefone e o do contato geraram, por exemplo, os pessoais. Embora possa ser difícil fazer isso para todos os contatos, pode ser útil quando você realmente desejar ter certeza de com quem está falando.
Quando encontrar um aplicativo de mensagens criptografadas de ponta a ponta, que funcione para você, comece a usá-lo e desfrute da sensação de paz que ele traz, percebida quando na sua mente você se sente tão seguro e protegido quanto os seus textos estão.