O que torna um aplicativo de mensagens seguro?
Um aplicativo de mensagens criptografadas tem algo mais importante do que widgets bacaninhas e uma biblioteca imensa de emojis: ele tem funcionalidades que são executadas silenciosamente em segundo plano para garantir a segurança do serviço.
Criptografia completa
A primeira coisa a se verificar quando for escolher um aplicativo de mensagens é se ele usa ou não uma criptografia ponta a ponta. A criptografia completa significa que suas mensagens de bate-papo privadas estão embaralhadas e apenas o remetente e o destinatário das mensagens têm as "chaves" para lê-las. Isso garante que ninguém além de você e da pessoa com quem está falando possa decifrar as mensagens.
Ironicamente, a criptografia era considerada algo usado apenas pelos paranoicos ou por aqueles que têm necessidade de sigilo, como os dissidentes políticos. Foi somente após a denúncia de Edward Snowden, que vazou documentos confidenciais revelando o programa de vigilância global da Agência de Segurança Nacional dos EUA (NSA, do inglês National Security Agency), que o mundo começou a entender completamente a importância da criptografia e da privacidade online. Desde então, muitas empresas (incluindo Facebook, Apple e Google) aumentaram a proteção de criptografia em seus softwares.
Configurações de criptografia padrão
Só porque um aplicativo oferece uma criptografia completa não significa que ela seja a configuração padrão. Alguns aplicativos de mensagens exigem que você acesse as configurações do aplicativo e realmente ative o recurso de criptografia, enquanto outros criptografam apenas as mensagens em cenários específicos (por exemplo, iMessages azuis versus mensagens de texto em verde). Por conta da importância relativamente nova da criptografia, muitas pessoas podem pensar que um aplicativo é seguro sem saber se ou quando suas mensagens são criptografadas. Então procure por um que tenha criptografia como padrão para quem envia e também para quem recebe mensagens.
Código aberto
Mesmo que receios envolvendo engenharia reversa ou códigos com backdoors façam parecer contraintuitivos que um desenvolvedor revele o código-fonte de um aplicativo, hoje, essa prática é vista como um indicador de integridade do software. O código-fonte aberto expõe o aplicativo à responsabilidade e auditoria externas realizadas por especialistas, o que pode ser uma maneira útil de chamar a atenção para quaisquer pontos fracos ou vulnerabilidades no código.
Coleta de dados
Embora muitos aplicativos de mensagens já tenham criptografia de ponta a ponta, alguns ainda coletam informações de dados sobre você, denominadas metadados. Os metadados são como uma impressão digital eletrônica que incluem dados como: com quem você fala (por meio de sua lista de contatos), por quanto tempo e em que horário, além de informações sobre o dispositivo usado, seu endereço IP, número de telefone, entre outras coisas. Configurar um aplicativo VPN no seu dispositivo móvel é uma forma fácil de bloquear a coleta desse tipo de informação pessoal. Tanto o AVG Secure VPN para Android quanto o AVG Secure VPN para iOS estão disponíveis para ajudar a proteger completamente sua privacidade online.
Quais são os aplicativos de mensagem mais seguros para Android e iPhone?
1. Signal
Originalmente conhecido como TextSecure Private Messenger, o Signal foi apontado como o padrão-ouro de segurança de mensagens pelo criptógrafo Bruce Schneier, Edward Snowden, congresso dos EUA e até pela Comissão Europeia. Disponível como aplicativo de mensagem gratuito para aparelhos iPhone e Android, assim como desktops, o Signal envia mensagens por meio de sua própria infraestrutura de dados.
Recursos de segurança do Signal
Criptografia de ponta a ponta
Mensagens enviadas pelo aplicativo Signal podem ser vistas somente por quem envia e por quem recebe. Nem mesmo a empresa por trás do aplicativo, a Open Whisper Systems, pode decodificar as mensagens. Além de mensagens instantâneas, você também pode fazer chamadas de voz, mensagens de grupo e chamadas de vídeo, tudo criptografado.
Código aberto
O Signal tem código-fonte aberto que pode ser visto por qualquer pessoa. Esse tipo de transparência permite a auditoria de rotina e ajuda a garantir que a segurança do aplicativo esteja sempre atualizada.
Mensagens que desaparecem
Para segurança adicional, o Signal permite que você "suma" com mensagens enviadas e recebidas após um determinado período de tempo.
Armazenamento mínimo de dados
Ao contrário de muitos outros aplicativos de mensagem, o Signal armazena apenas os metadados necessários para o funcionamento do aplicativo, como seu número de telefone, chaves aleatórias e informações de perfil.
Segurança com senha
O aplicativo também permite que você defina uma senha para bloqueá-lo. Portanto, mesmo que seu telefone caia nas mãos erradas, suas mensagens ainda estarão protegidas.
Riscos de segurança do Signal
A melhor característica do Signal é que praticamente não há riscos de segurança. Desde que os desenvolvedores do aplicativo continuem diligentes na correção de vulnerabilidades, o Signal permanecerá no topo da lista de aplicativos de mensagens.
2. Wickr Me
Disponível para iPhone e Android, o Wickr se distingue por oferecer opções de mensagens seguras para uso pessoal (Wickr Me) e para negócios e empresas (Wickr Pro). Embora o Wickr Me seja gratuito, o Wickr Pro é um serviço pago, mas conta com um teste grátis de 30 dias.
Recursos de segurança do Wickr Me
Criptografia de ponta a ponta
Além de mensagens criptografadas, o Wickr também anunciou em 2018 que seu serviço "Me" ofereceria chamadas e mensagens de voz criptografadas (que já estavam na versão Pro).
Detecção de captura de tela
O Wickr anunciou recentemente que irá oferecer um novo recurso que permite aos usuários detectar capturas de tela. Isso significa que você receberá uma notificação se alguém fizer uma captura de tela de uma mensagem enviada.
Proteção de sobreposição de tela
Em dispositivos Android, o Wickr lançou um novo recurso que permite aos usuários desativar as "Sobreposições de tela". Isso impede que os usuários interajam com o aplicativo quando uma sobreposição for detectada, o que ajuda a protegê-lo contra TapJacking, ataque que permite ao cibercriminoso esconder suas atividades para baixar outras ameaças ou alterar a configuração do sistema.
Teclados de terceiros
No iOS, o Wickr permite bloquear teclados de terceiros. Isso ajuda a proteger suas informações, evitando que teclados de terceiros gravem nomes de usuário, senhas e outras informações digitadas no aplicativo.
Secure Shredder
Esse recurso adiciona uma camada extra de segurança para garantir que os arquivos já excluídos não possam ser recuperados com ferramentas ou tecnologia especiais. Apesar do Wickr fazer isso periodicamente, você também tem a opção de apagar manualmente as informações do seu aparelho.
Riscos de segurança do Wickr Me
Como o Signal, o Wickr é normalmente considerado quase infalível do ponto de vista de segurança. Embora tenha sido criticado anteriormente por manter seu código-fonte fechado, em 2017, o Wickr finalmente divulgou seu protocolo criptográfico no Github. Se quiser obter informações técnicas sobre a segurança do aplicativo, confira as Promessas de segurança para o cliente do Wickr.
3. Dust
Anteriormente conhecido como Cyber Dust, o aplicativo de mensagens idealizado por Mark Cuban, o Dust, está disponível para iOS e Android. O principal objetivo do aplicativo é enviar mensagens privadas (ou fotos e vídeos) chamadas "Dusts” (poeira) para seus contatos que "se tornam pó" e desaparecem 100 segundos depois de serem lidas. "Blasts” (explosões) é um outro tipo de mensagem que pode ser enviada para um grupo de pessoas, mas lidas com privacidade. Por fim, você pode iniciar conversas em grupo, conhecidas simplesmente como "Grupos".
Recursos de segurança do Dust
Criptografia de ponta a ponta
O Dust usa “criptografia pesada”, apesar de não ter seu código disponível para revisão. Você pode enviar mensagens criptografadas de texto, fotos ou vídeos, mas o aplicativo não permite chamadas de voz ou vídeo.
Sem armazenagem permanente
Além de suas mensagens não serem permanentemente salvas no smartphone ou nos servidores da empresa (em vez disso, elas são enviadas para a memória RAM do aplicativo até que sejam acessadas pelo destinatário), você também pode apagar suas mensagens dos dispositivos de outras pessoas.
Alerta de captura de tela
Se houver uma tentativa de captura de tela em um smartphone Android, o nome da pessoa que enviou a mensagem será removido, eliminando efetivamente o contexto da conversa. A Apple impede que os aplicativos bloqueiem as capturas de tela. Por isso, os usuários do iPhone recebem uma notificação se alguém fizer uma captura de tela da mensagem enviada.
Destruição automática
As mensagens são automaticamente apagadas em 24 horas ou logo após serem lidas. Você pode escolher.
Riscos de segurança do Dust
No momento, não há riscos de segurança significativos associados ao Dust, além dos riscos potenciais e da falta de transparência relacionada ao código do aplicativo não ser aberto.
4. WhatsApp
Com mais de 300 milhões de usuários diários, o WhatsApp é um dos aplicativos de mensagens mais usados atualmente. A popularidade do aplicativo é definitivamente um de seus pontos fortes, além de estar disponível gratuitamente para iPhone e Android e não exibir anúncios. Você pode enviar com facilidade mensagens de texto, fotos e mensagens curtas de vídeo e voz. Mas as conversas do WhatsApp são privadas?
Recursos de segurança do WhatsApp
Criptografia de ponta a ponta
Em abril de 2016, o WhatsApp implementou um protocolo de criptografia super seguro desenvolvido pela Open Whisper Systems (a empresa por trás do aplicativo de mensagens seguras Signal) em todas as plataformas móveis. Graças a esse protocolo, somente o remetente e o destinatário têm as chaves para descriptografar as mensagens enviadas via WhatsApp, o que significa que elas não podem ser acessadas e lidas por nenhuma outra pessoa. As chamadas de voz e vídeo também são criptografadas.
Verificação de criptografia
O WhatsApp também tem uma tela para “Verificar o código de segurança" na tela de informações de contato, que permite confirmar se suas chamadas e mensagens têm criptografia de ponta a ponta. O código é apresentado como um código QR e um número de 60 dígitos.
Verificação em duas etapas
A verificação em duas etapas é um recurso adicional que possibilita adicionar mais segurança à sua conta, definindo um número PIN para verificar seu número de telefone em qualquer dispositivo.
Não armazenamento de mensagens
O único momento em que a sua mensagem é mantida em um servidor do WhatsApp é logo após o seu envio e antes de ser entregue ao destinatário. Se ela não puder ser entregue por algum motivo, a mensagem será excluída do servidor após 30 dias.
Riscos de segurança do WhatsApp
Backups não criptografados
As mensagens do WhatsApp não podem ser interceptadas durante a transmissão, mas o que dizer dos backups de mensagens no iCloud ou no Google Drive? A boa notícia para os usuários do iPhone é que o WhatsApp adicionou proteção de criptografia nos backups do iCloud no final de 2016. Mas as mensagens nos smartphones Android com backup no Google Drive não são criptografadas, o que as torna potencialmente vulneráveis a hackers, governos que poderiam obrigar legalmente o Google a entregá-las ou até mesmo ao próprio Google. Então, como você pode proteger sua privacidade no WhatsApp como um usuário do Android? Felizmente, é possível desativar os backups de mensagens do WhatsApp no Google Drive.
Problemas de privacidade do Facebook
O WhatsApp foi comprado pelo Facebook em 2014, transferindo para o aplicativo de mensagens as preocupações sobre a reputação do conglomerado de mídia social relacionadas à coleta invasiva de dados. Embora o Facebook garanta aos usuários que não há nenhuma maneira possível de visualizar as mensagens criptografadas do aplicativo, o WhatsApp anunciou que compartilharia metadados de usuários com o Facebook para várias finalidades, como a segmentação de anúncios.
5. Telegram
Com mais de 200 milhões de usuários no iPhone e no Android, o Telegram tem crescido em popularidade desde seu lançamento em 2013 e é conhecido por seu recurso exclusivo de conversa em grupo, que suporta até 100 mil membros. No entanto, no início de 2018, um conflito com o governo russo devido a recusa dos desenvolvedores do aplicativo em entregar as chaves de criptografia resultou na sua proibição total na Rússia. O Telegram também foi visto como controverso por causa de seu status como o aplicativo de mensagens preferido do ISIS. Isso motivou ainda mais a conversa sobre a responsabilidade dos aplicativos de mensagens em trabalhar com as forças de segurança, em vez de manter os dados do usuário totalmente protegidos.
Recursos de segurança do Telegram
Criptografia de ponta a ponta
O Telegram oferece um recurso chamado "Chat Secreto", que permite proteger suas mensagens com criptografia de ponta a ponta. No entanto, o recurso não é padrão, então você precisa saber como ativá-lo.
Senha de bloqueio
Você pode definir um código de quatro dígitos para impedir que intrusos acessem suas mensagens, o que pode ser útil se o smartphone for perdido ou roubado.
Verificação em duas etapas
Presente nas Configurações, a verificação em duas etapas exige que você use um código SMS e uma senha (veja o que não fazer ao criar uma senha) para acessar o aplicativo. Também é possível configurar um endereço de e-mail de recuperação caso esqueça sua senha.
Código aberto
Qualquer pessoa pode verificar seu código-fonte, o protocolo e a API do Telegram para certificar-se de sua conformidade com o padrão.
Desafio de quebra do Telegram
O Telegram desafia os "hackers" a tentarem quebrar sua criptografia e decifrar suas mensagens, oferecendo uma recompensa de 300 mil dólares para qualquer pessoa que conseguir fazer isso. Isso ajuda a garantir que qualquer vulnerabilidade em potencial será encontrada e corrigida.
Destruição automática de mensagens
Como muitos outros aplicativos de mensagens, o Telegram também oferece um Temporizador de autodestruição (somente para os Chats Secretos) que exclui mensagens de texto privadas e mídia dentro de um limite de tempo predefinido.
Logout remoto
Como o acesso ao Telegram pode ser feito em vários dispositivos ao mesmo tempo (Web, PC, tablet, smartphone, etc.), o aplicativo oferece a possibilidade de encerrar outras sessões no dispositivo em uso, no menu Configurações. Dessa forma, se o seu dispositivo for perdido ou roubado, ainda será possível garantir a segurança das suas mensagens.
Autodestruição da conta
Depois que sua conta ficar inativa por um determinado período de tempo (padrão de seis meses), ela será destruída automaticamente, limpando completamente todas as suas mensagens e mídias.
Riscos de segurança do Telegram
Criptografia de ponta a ponta não é padrão
Você deve ativar manualmente o recurso "Chat Secreto" do Telegram, caso contrário, as conversas serão criptografadas apenas entre o seu dispositivo e o servidor do Telegram.
Registro dos dados de chat
Se você não ativar o recurso Chat Secreto, os dados dos seus bate-papos serão salvos nos servidores do Telegram. A empresa alega que essa configuração existe caso o seu dispositivo seja perdido e você queira recuperar suas mensagens, mas do ponto de vista de segurança, isso é um tremendo ponto negativo.
Possível falha na tecnologia de criptografia
O Telegram criou seu próprio protocolo MTProto, em vez de usar um comprovadamente seguro, como o protocolo Signal. Muitos especialistas questionaram o raciocínio por trás disso e expressaram ceticismo sobre a falta de transparência em torno do protocolo.
6. Apple iMessage
Como serviço de mensagens instantâneas desenvolvido pela Apple Inc., o iMessage é suportado pelo aplicativo Messenger no iOS versão 5.0 e posterior. O iMessage é muito popular entre os usuários do iPhone (e só pode ser usado entre eles) e permite o envio de textos, documentos, vídeos, fotos, informações de contato e mensagens de grupo pela internet. Já demos dicas sobre como manter seu iPhone seguro, mas será que o iMessage é realmente seguro?
Funcionalidades de segurança do iMessage
Criptografia de ponta a ponta
No entanto, a criptografia completa do iMessage protege somente as mensagens entre os usuários do iPhone (que aparecem em azul). Se você enviar uma mensagem para um usuário do Android, ela será enviada como uma mensagem de texto normal (em verde) e não será criptografada. Ao contrário de muitos outros aplicativos nesta lista, parece que a Apple não lançará o iMessage para Android. Embora o iMessage não permita realizar chamadas de vídeo ou voz, seu aplicativo "irmão", o FaceTime, permite (com proteção criptografada).
Destruição automática de mensagens
Muitos usuários do iMessage não sabem que o aplicativo fornece um recurso que permite controlar por quanto tempo cada foto, vídeo ou mensagem será exibida antes de desaparecer. Você também pode escolher quantas vezes o seu interlocutor pode ver a mensagem. No entanto, o recurso está disponível apenas no iOS 10 e posterior.
iMessages deletado de servidores
Suas mensagens criptografadas permanecem nos servidores da Apple apenas por sete dias antes de serem apagadas.
Riscos de segurança do iMessage
Problemas de criptografia
Em 2016, pesquisadores da Universidade Johns Hopkins revelaram uma falha na implementação de criptografia da Apple que poderia deixar o iMessages vulnerável à descriptografia. Mais tarde, em 2019, pesquisadores do Projeto Zero apresentaram seis explorações de alto nível que permitiam o uso do iMessage para tomar o controle de um dispositivo. Todos esses problemas foram rapidamente corrigidos, mas isso revela o risco de outras vulnerabilidades desconhecidas pairando no código.
Backups no iCloud
Caso faça backup das mensagens do iMessages no iCloud, elas serão criptografadas no próprio serviço de nuvem com uma chave controlada pela empresa, não por você. Isso significa que, se o seu iCloud for invadido ou intimado por um tribunal, as mensagens poderão ser reveladas. E, embora a Apple seja firme sobre não criar "backdoors" em seu sistema ou enfraquecer a criptografia, quando se trata de entregar as informações armazenadas na nuvem, ela e outras empresas de tecnologia têm um histórico de cooperação com autoridades.
7. Facebook Messenger
O aplicativo de mensagens do Facebook está disponível para iPhone e smartphone Android e oferece uma maneira conveniente de manter contato com amigos e familiares graças à sua enorme popularidade.
Recursos de segurança do Facebook Messenger
Criptografia de ponta a ponta
Em 2016, o Facebook adicionou seu recurso de Conversas Secretas para proteger as mensagens com o protocolo Signal de criptografia de ponta a ponta (também usado pelo WhatsApp). No entanto, o Signal e o WhatsApp têm criptografia completa por padrão, enquanto as Conversas secretas devem ser ativadas.
Destruição automática de mensagens
Você pode ajustar as mensagens do Facebook Messenger para que sejam destruídas automaticamente depois de um determinado período de tempo (entre cinco segundos e 24 horas).
Riscos de segurança do Facebook Messenger
Criptografia não é padrão
Como mencionado acima, a criptografia de ponta a ponta para as mensagens deve ser ativada pelo usuário. Isso significa que as mensagens enviadas sem esse recurso são criptografadas somente quando enviadas ao servidor do Facebook e, em seguida, são criptografadas novamente quando enviadas ao destinatário (a de ponta a ponta é criptografada diretamente entre o remetente e o destinatário). Ou seja, uma cópia da mensagem permanece nos servidores do Facebook.
Preocupações com a privacidade
Após o escândalo da Cambridge Analytica com o Facebook, as preocupações sobre o limite de coleta de dados do Facebook só se intensificaram, fazendo com que muitos se perguntem como podem proteger seus dados pessoais enquanto estão no Facebook. Para piorar, em 2018, a imprensa noticiou que o Facebook estaria coletando informações sobre as chamadas e mensagens de textos de seus usuários do Android por meio de uma permissão que deixaria o aplicativo importar seus contatos do aparelho. E um ano depois, a empresa foi pega fazendo isso novamente. Há muitos motivos para duvidar da segurança e privacidade do Facebook Messenger.
Aplicativo a ser evitado: Hangouts do Google
Apesar de estar disponível gratuitamente no iOS e no Android, o Hangouts do Google está repleto de preocupações em relação à privacidade e segurança. Embora criptografe as conversas do Hangouts, ele não usa uma criptografia completa; em vez disso, as mensagens são criptografadas "em trânsito". Isso significa que elas são criptografadas apenas entre o seu dispositivo e os servidores do Google. Depois que elas estiverem em um servidor, o Google terá acesso total a elas. Se solicitado, o Google poderá entrar nas sessões de comunicação privadas e transmitir essas informações para as agências governamentais. E com o Relatório de Transparência do Google revelando que a empresa de fato recebe e, muitas vezes, atende a pedidos para fornecer informações de clientes, essa é uma preocupação muito forte.
Além disso, as imagens enviadas por meio do Hangouts são compartilhadas por meio de URLs públicos, o que significa que praticamente qualquer pessoa (que saiba algo sobre URLs) pode visualizar suas imagens privadas. Esse definitivamente não é o aplicativo que você deve usar para enviar...fotos...confidenciais.
Como posso ficar seguro?
Acreditamos que todos têm o direito à privacidade online e merecem trocar mensagens com seus amigos e parentes sem ter que se preocupar com quem pode estar espionando. Em um mundo ideal, todos estariam usando aplicativos de mensagens super seguros, como Signal ou Wickr, para se comunicarem. Mas com a popularidade de aplicativos menos seguros ou questionáveis em relação à privacidade, como Facebook Messenger ou WhatsApp, algumas vezes, o meio termo é mais conveniente. Se você escolher usar um aplicativo de mensagem menos seguro, sincronize-o com a proteção de uma VPN. Uma rede privada virtual criptografa tudo o que você faz na internet, incluindo a troca de mensagens e outras tarefas que podem expor seus dados sigilosos pessoais, como compras online e atividades bancárias. Oferecemos o AVG Secure VPN para iOS e o AVG Secure VPN para Android para manter suas informações seguras em todos os dispositivos.
Comentários
Postar um comentário