Na semana passada demos uma olhada no projeto “Secure Messaging Scorecard”da Fundação Electronic Frontier (EFF – sigla em inglês) e fizemos uma lista de nove aplicativos de mensagens instantâneas que tiveram a melhor pontuação em privacidade e segurança. Nesta semana, vamos fazer o mesmo -só que apresentaremos os serviços que tiveram a pior pontuação.
Se a lista de serviços de mensagens instantâneas que postamos na semana passada priorizava a segurança e a privacidade dos usuários parecia desconhecida para você, então a lista desta semana será, infelizmente, muito familiar. Por essa razão, vamos nos concentrar principalmente sobre os serviços mais populares, embora também levemos em consideração os menos populares.
Os 11 serviços de mensagens mais perigosos da #Internet em relação à #segurança e #privacidade
Tweet
Contexto
A EFF emitiu diversas qualificações para cada serviço de mensagem instantânea, divididos em 7 categorias. Nós, da Kaspersky Lab, demos um “zero”, assim como um ou dois “sim” para os apps que tiveram más qualificações, de acordo com as seguintes categorias:
1. Os dados em trânsito são criptografados?
2. Os dados são criptografados de modo que nem sequer os prestadores de serviços podem lê-los?
3. É possível identificar a verdadeira identidade de cada um dos contatos?
4. O provedor conta com uma confidencialidade direta e perfeita? As chaves criptografadas são efêmeras, assim se uma chave for roubada não irá descriptografar as comunicações existentes?
5. O serviço é de código-fonte aberto e está disponível para consulta pública?
6. A implementação dos processos e procedimentos de criptografia são documentados?
7. O serviço já teve, ao menos, uma auditoria de segurança independente nos últimos 12 meses?
Ao todo, os sete pontos estão projetados para medir quais são os serviços que oferecem a melhor proteção contra a vigilância do governo, espionagem criminosa e coleta de dados corporativos. Nem a EFF nem a Kaspersky Lab estão respaldando oficialmente nenhum dos seguintes programas. A lista apenas indica quais aplicativos não seguem de maneira consiste as melhores práticas.
Zero estrelas: o pior
Apenas os serviços Mxit e QQ não receberam nenhuma estrela. De fato, provavelmente você nunca tenha usado nenhum deles. E se está pensando em usá-los, não! Estes aplicativos não são nada seguros, uma vez que as comunicações em ambos podem ser visualizadas em texto simples.
Uma estrela: ainda assim é ruim
Infelizmente, existem quatro serviços de mensagens instantâneas que receberam só uma das setes estrelas e quase todo mundo costuma usá-los.
Há muito tempo o serviço de mensagens do Yahoo criptografa somente as comunicações dos usuários em trânsito. Isso quer dizer que a empresa pode ler suas mensagens ou entregá-las às autoridade se assim desejarem. Com o objetivo de ser transparente, o Yahoo! emite um relatório de transparência bianual que detalha a quantidade de informação que revela a pedido do governo.
Você também não pode verificar as identidades dos seus contatos com o Yahoo! Messenger, nem as práticas confidenciais, nem abrir o código para fazer uma revisão de maneira independente, ou documentar o seu projeto de segurança. Por fim, a empresa não realizou nenhuma auditoria de código recentemente. Para sermos justo, as ofertas Web mais amplas do Yahoo! já percorreram um longo caminho em termos de criptografia em comparação com dois anos atrás, por isso não podemos perder a esperança de que a empresa também possa fazer isso com seu serviço de mensagens instantâneas.
Embora o Skype seja uma das plataformas de mensagens instantâneas mais utilizadas na Internet, sua pontuação na avaliação da EFF foi igual ao do Yahoo! Messenger. O serviço de mensagens e videochamadas da Microsoft recebeu só uma estrela (a mesma) que o app do Yahoo! pela sua criptografia de dados em trânsito. No entanto, não conseguiu passar em nenhuma das outras categorias. Por outra parte, o Skype tem um amplo registro de acusações por participação nos programas de vigilância e espionagem, ainda que a Microsoft tenha negado categoricamente todas estas denúncias.
O BlackBerry Messenger recebeu a mesma pontuação que Yahoo! Messenger e Skype. O serviço também criptografa suas comunicações em trânsito, mas não de forma completa. Por esta razão, o BlackBerry poderia ler as conversas dos usuários sem eles saberem ou permitirem. O app do BlackBerry também falhou nas outras cinco categorias.
O serviço de mensagens AIM (American Online’s Instant Messenger) existe desde 1997. Embora sua popularidade já não seja a mesma de quinze anos atrás, o serviço ainda é utilizado por milhares de pessoas. Infelizmente, assim como os aplicativos acima, o Messenger da AOL só criptografa as comunicações em trânsito e nada mais.
Finalmente, vale a pena mencionar os casos de Kik e eBuddy que, como o resto, só receberam uma estrela no teste da EFF. E não queríamos deixar de destacar os casos do Secret Message e Hushmail que se auto-intitulam “seguras e privados” e, assim como os apps anteriores, só criptografam suas comunicações em trânsito.
Duas estrelas: um pouco mais seguros, mas não tanto
O popular aplicativo para compartilhar fotos e vídeos auto-destrutivos SnapChat conseguiu duas estrelas no ranking da EFF. Uma pela criptografia de dados em trânsito, ou seja, desde que saem do remetente, passam pelos servidores de SnapChat e chegam ao destinatário. E a outra estrela foi por ter recebido auditoria de segurança nos últimos doze meses. Assim como muitos dos serviços desta lista, o SnapChat foi objeto de muitas críticas, não tanto pela falta de segurança, mas por não seguir com a sua premissa central.
A idéia central do SnapChat é que as mensagens, fotos ou vídeos enviados só sobreviviam alguns segundos. No entanto, o problema é que o destinatário destas mensagens pode guardar as imagens fazendo a captura de telas, embora o remetente receba uma notificação caso isso ocorra. Assim mesmo, um aplicativo conhecido como SnapHack permite que os usuários possam guardar os snaps fora do aplicativo SnapChat. Por outra parte, um grupo de pesquisadores assegurou em várias oportunidades que as imagens do SnapChat, na realidade, não desaparecem completamente e sim que são mais difíceis de localizar.
Outro serviço que teve duas estrelas foi o Hangouts do Google. O Hangouts não é só integrado em todas as contas do Gmail, também é o chat nativo do Google Plus e de todos os dispositivos Android. O Google criptografa as comunicações em trânsito e foi auditado ano passado. No entanto, pode ler as suas mensagens, os usuários não podem verificar as identidades reais dos contatos, seu código não está disponível para ser analisado publicamente e sua segurança não está devidamente documentada.
O Facebook Messenger é a versão móvel do chat do Facebook. Esse serviço também teve somente duas estrelas no ranking da EFF. Assim como o resto dos apps desta lista, o Facebook Messenger criptografa as comunicação em trânsito e foi auditado no ano passado, mas falha nas outras categorias.
O Viber é, provavelmente, o serviço menos popular entre os serviços que tiveram duas estrelas. Embora seja aparentemente conhecido como um mensageiro privado, ele só criptografa suas comunicações em trânsito e foi auditado apenas uma vez no ano passado.
Por último, temos o curioso caso do WhatsApp. É um serviço incrivelmente popular, que basicamente substituiu o sistema de mensagens SMS. Ele funciona através da Internet em vez de usar a própria rede do celular. No entanto, este serviço recebeu apenas duas estrelas na avaliação da EFF. Ainda que haja suspeitas de que isso possa vir a mudar em pouco tempo.
#WhatsApp adds #encryption by default to #Android app. Other OS to follow: https://t.co/VxoCSGeh9V pic.twitter.com/9lFMEJ6OCi
— Eugene Kaspersky (@e_kaspersky) noviembre 19, 2014
A razão para essa mudança é a aliança do WhatsApp com a empresa Open Whisper Systems, que tem como principal objetivo estabelecer uma criptografia padrão no aplicativo do WhatsApp para Android. Assim mesmo, não devemos nos esquecer que a OWP é a empresa criadora dos aplicativos Signal, RedPhone, Silent Text e Silent Phone e todas eles receberam sete estrelas no teste da EFF. Portanto, tudo parece indicar que o Whatsapp está prestes a aumentar consideravelmente sua segurança nos próximos dias e meses.
No momento, porém, a criptografia só é implementada em dispositivos Android para comunicações um-a-um. Assim, os usuários do iPhone terão que esperar. No entanto, a WhisperSystems diz que eles estão trabalhando em ambos os problemas.
Esta é uma boa notícia, uma vez que se um dos serviços de mensagens instantâneas mais popular está a ponto de melhorar sua segurança e privacidade, é possível que seus concorrentes diretos também queiram seguir o exemplo do WhatsApp.
Tradução: Juliana Costa Santos Dias