Pesquisa: quase todos os mensageiros instantâneos que você usa são seguros

Last updated Dez 4, 2022

Contente

O que significa segurança nos mensageiros, e para o que eles não fornecem segurança?

Um mensageiro, usado predominantemente na China, vazou mais de 130.000 imagens, vídeos e gravações de áudio altamente explícitas de seus usuários. Embora este serviço de mensagens estivesse associado a uma empresa que oferecia uma suposta "rede social privada" e, portanto, tinha uma pequena base de usuários.

Os caras da CyberNews em seu novo estudo avaliaram os recursos de segurança de grandes aplicativos de mensagens, nós traduzimos e convidamos você a dar uma olhada.

Temos boas notícias para os usuários dos mensageiros mais populares: 11 dos 13 aplicativos, todos exceto Telegram e Facebook Messenger, possuem recursos de segurança ativados por padrão. Isso parece promissor e a indústria de mensagens está claramente indo na direção certa.

Os pesquisadores também descobriram que a maioria dos aplicativos usa criptografia RSA e AES e hash de chave, que são os métodos de criptografia mais seguros e eficientes disponíveis atualmente.

Em geral, a criptografia é necessária não apenas para proteger mensagens "privadas". Esses mensageiros seguros permitem que ativistas de todo o mundo lutem contra a injustiça e o regime autoritário sem medo de serem perseguidos, como os protestos anti-Lukashenko na Bielo-Rússia.

Objetos de análise

Para conduzir a análise, os pesquisadores analisaram vários aspectos de 13 aplicativos populares de mensagens seguras:

Sinal
Wickr Me
Mensageiro
Whatsapp
Telegrama
Arame
Viber
poeira cibernética
iMessage
Privado
Qtox
Sessão
Briar

Principais conclusões

A análise incluiu os protocolos de comunicação utilizados e padrões de criptografia de vários aplicativos, princípios de troca de chaves e primitivas criptográficas.

2 aplicativos não usam recursos de segurança por padrão, o usuário precisa ativá-los nas configurações
4 aplicativos usam criptografia de sinal padrão do setor
apenas 2 aplicativos usam o protocolo P2P para troca de dados
O iMessage não criptografa mensagens se forem enviadas por GSM (usando redes 2G e 3G)
3 de 13 aplicativos têm uma assinatura que permite usar recursos avançados
a maioria dos aplicativos usa RSA e AES, alguns dos algoritmos de criptografia mais seguros disponíveis atualmente, para criptografar e fazer hash de chaves

Como funcionam os mensageiros seguros

Embora o foco esteja nos aplicativos de mensagens mais populares, como Signal, Messenger, Viber, Telegram e WhatsApp, os pesquisadores expandiram a análise para incluir outros aplicativos de mensagens para fornecer informações abrangentes sobre o próprio setor. Também falaremos sobre Session, Briar, Wickr Me, Wire e Cyber Dust.

O que foi encontrado é mais encorajador: todos, exceto dois dos aplicativos, fornecem segurança por padrão, e o Telegram e o Messenger podem ser facilmente protegidos alterando as configurações do usuário.

Quatro aplicativos – Signal, Messenger, WhatsApp e Session – usaram o protocolo Signal para criptografia de ponta a ponta. Com a criptografia de ponta a ponta, apenas o remetente e o destinatário podem visualizar as mensagens, enquanto sem a criptografia de ponta a ponta, o servidor de aplicativos de mensagens que fica entre o remetente e o destinatário pode ler as mensagens. O protocolo Signal tornou-se o padrão da indústria para comunicações seguras de mensagens, voz e vídeo.

Um aspecto interessante no caso do app iMessage, que é usado em aparelhos da Apple, é que ele só criptografa os dados quando são enviados por HTTPS. Ao enviar via GSM (2G e 3G), os dados não são criptografados.

Apenas dois aplicativos, Briar e Qtox, usam o protocolo P2P para transferir dados por uma rede ponto a ponto. O P2P permite transferir dados diretamente de usuário para usuário sem usar o servidor como intermediário. Enquanto o Briar oferece outros protocolos de transferência, o Qtox usa apenas seu próprio P2P TOX. É por isso que eles não têm uma política de privacidade, porque não têm acesso aos dados do usuário.

Todos os mensageiros analisados são gratuitos ou têm uma versão gratuita, apenas o Wire requer uma assinatura paga. A razão é que ele é feito para necessidades corporativas, como Slack ou Microsoft Teams, suporta apenas criptografia de ponta a ponta.

Em geral, os pesquisadores concluíram que é possível se comunicar com segurança usando esses mensageiros, basta lembrar que para o Facebook Messenger ou Telegram, você precisa habilitar os recursos de segurança nas configurações do aplicativo ou em um chat separado.

Isso é necessário não só por segurança, mas também para manter a privacidade, pois os servidores do Facebook e do Telegram também não poderão visualizar suas mensagens.

O que significa segurança nos mensageiros, e para o que eles não fornecem segurança?

É importante entender que existem algumas limitações quando falamos de segurança em mensageiros. A longo prazo, depende de como exatamente você vai usá-los.

Para uso normal, é importante que seu messenger criptografe os dados, de preferência por padrão. Mas, além disso, existem usuários que desejam o máximo de segurança possível, o que significa anonimato completo, ou quase total. Para que ninguém além deles possa ver as mensagens, rastrear suas trocas ou até mesmo saber seus nomes. Diante disso, a maioria desses serviços falha. Pelo menos porque os aplicativos não são perfeitos, assim como as pessoas que os escrevem. Um aplicativo pode usar todos os recursos de segurança mais fortes, mas nenhum aplicativo está imune a um bug.

Um dos exemplos mais claros disso é o WhatsApp, que tem vulnerabilidades há muitos anos. Por exemplo, o spyware israelense permitia a instalação de spyware apenas ligando para a vítima via WhatApp. O Facebook Messenger também tinha vulnerabilidades que permitiam que hackers ouvissem secretamente suas conversas sem muito esforço.

Até mesmo o Signal, recomendado por profissionais de segurança cibernética, foi vítima de um hack sofisticado que permitia espioná- lo com algum tipo de chamada fantasma. Eles fizeram uma ligação e imediatamente apertaram o botão mudo. A chamada não estava visível, mas eles poderiam ter escutado o que estava ao seu redor.

E esses são apenas casos em que os hackers usam vulnerabilidades para atacar indivíduos. Ao longo dos anos, o governo e as agências de aplicação da lei usaram vários métodos para espionar grupos inteiros de pessoas. Em Hong Kong, o governo chinês supostamente usou um bug do Telegram para obter os números de telefone dos usuários. Pesquisadores alemães também descobriram que WhatsApp, Signal e Telegram expunham os dados pessoais dos usuários por meio de contatos.

Nenhum desses aplicativos oferece segurança absoluta e nunca o fará, pois uma pessoa ou grupo de pessoas com tempo e recursos suficientes sempre encontrará uma solução alternativa. Mesmo que o aplicativo fosse completamente seguro por conta própria, ele não poderia corrigir seus próprios erros.

Como bem dito no FAQ do Telegram:

“Não podemos protegê-lo de sua própria mãe se ela pegar seu telefone desbloqueado sem uma senha. Ou do seu departamento de TI se eles tiverem acesso ao seu computador no trabalho. Ou de qualquer outra pessoa que tenha acesso físico ou root aos seus telefones ou computadores que tenham o Telegram instalado."

Se você estiver agindo de forma insegura, nenhum aplicativo de mensagens seguro poderá salvá-lo.

Tabela de resultados

Na imagem abaixo, você encontrará todos os detalhes sobre os 13 aplicativos de mensagens que analisamos neste artigo.

De acordo com CyberNews.