Telegram – “secreto”? Aham, sei

Algumas palavras para compreender por que o Telegram não é tão seguro quanto seus desenvolvedores se vangloriam.

Os desenvolvedores do Telegram divulgam seu produto como seguro e protegido. Mas na prática isso não é totalmente verdade: a realidade é que o Telegram tem uma série de peculiaridades que tornam a proteção de suas mensagens um pouco complicada, e não tem nada a ver com as complexidades da criptografia, mas com questões muito mais prosaicas. Vamos dar uma olhada em alguns recursos duvidosos na interface do aplicativo e na lógica geral que o torna menos seguro do que geralmente se acredita.

Tons de mensagens seguras

Para começar, vamos descobrir como funciona um aplicativo de mensagens instantâneas seguro. A primeira coisa a perceber é que quase todos os mensageiros atuais há muito tempo mudaram para a troca de dados criptografados entre dispositivos e servidores. Esse é o mínimo que qualquer aplicativo com esse fim deve fornecer. No entanto, isso não é suficiente para considerar um sistema seguro, pois não garante a total segurança das mensagens.

Eis o motivo: se não apenas os participantes de mensagens, mas também o serviço tiver acesso aos chats, isso criará riscos adicionais. Por exemplo, os próprios proprietários do serviço podem se tornar excessivamente curiosos ou gananciosos. Ou, mesmo se presumirmos que eles são honestos e não desejam enfiar o nariz nos dados dos usuários, onde está a garantia de que, se o serviço for vendido um dia, os próximos proprietários serão tão honestos? E então, é claro, o serviço poderia ser hackeado e, nesse caso, os próprios hackers obteriam acesso às mensagens privadas dos usuários.

No entanto, existe uma maneira muito eficaz de evitar todos esses perigos e responder à questão se o serviço é confiável de uma vez por todas: criptografia de ponta a ponta. Isso garante que as informações sejam criptografadas no dispositivo do remetente e descriptografadas apenas no dispositivo do destinatário. Dessa forma, o serviço envia e recebe apenas mensagens criptografadas e não tem acesso ao conteúdo. Isso protege automaticamente a correspondência dos proprietários (atuais ou futuros) e de outros problemas que possam ocorrer.

Assim, chegamos a uma fórmula muito simples: um serviço de mensagens instantâneas seguro é aquele que usa criptografia de ponta a ponta. Agora vamos ver como o Telegram lida com tudo isso.

1. Nem todo chat no Telegram tem a mesma segurança

Vamos direto à raiz do problema: o Telegram é um mensageiro único com dois tipos de chats: regular e secreto. Bate-papos regulares não são criptografados de ponta a ponta. Apenas os secretos são.

Nenhum outro mensageiro faz isso: até mesmo o notório WhatsApp, parte do império faminto por dados de Mark Zuckerberg, usa criptografia de ponta a ponta por padrão. O usuário não precisa fazer nada, não há caixas de seleção especiais nem nada: as mensagens são protegidas de todos os estranhos (incluindo os proprietários do serviço) imediatamente.

Quanto aos mensageiros que se posicionam explicitamente como seguros e protegidos, ninguém na Signal ou na Threema jamais pensaria em ter dois tipos de correspondência: uma criptografada de ponta a ponta, outra não. Por que se preocupar se você pode tornar todos os chats igualmente seguros sem confundir o usuário? Mas o Telegram é único.

2. Sobre esses padrões…

Por padrão, os bate-papos do Telegram não usam criptografia de ponta a ponta e o mensageiro também não informa os usuários sobre a opção de bate-papo seguro. Quem poderia imaginar que um usuário que acabou de instalar um mensageiro precisamente porque foi anunciado como seguro queria manter a privacidade da correspondência? Mandem seus palpites por correio, por favor. O resultado é que, quando um usuário cria uma nova conversa, o Telegram não se oferece para protegê-lo nem mesmo sugere a existência de uma opção diferente do chat padrão.

Estou disposto a apostar que existem milhares, se não milhões, de pessoas que confiam segredos importantes aos chats do Telegram com total confiança de que estão protegidos com segurança por padrão, mas usam bate-papos regulares sem fim criptografia de ponta a ponta.

O que é especialmente interessante é que o botão de chat secreto está o mais escondido possível. Não está na própria interface de bate-papo. Também não está disponível no próximo nível: mesmo se você tocar no nome do seu contato e acessar o perfil dele, não encontrará a cobiçada funcionalidade lá. Você precisa se aprofundar um pouco mais: toque no menu de três pontos, vasculhe os recursos secundários e aí está – a opção de bate-papo secreto com criptografia de ponta a ponta.

3. Por que tanto segredo?

Outra reclamação surge em relação ao nome que o Telegram deu aos seus bate-papos criptografados de ponta a ponta. Os desenvolvedores poderiam chamá-los de algo neutro como “seguro”, “protegido” ou “privado”. Mas não: eles optaram por “secreto” — e essa palavra tem um efeito muito interessante na percepção das pessoas.

Muitas vezes, depois de criar um chat secreto no Telegram, recebo uma piada sarcástica do outro lado, algo como: “Fala James – tá de segredinho comigo, é?!?” Outros perguntam apreensivos sobre o que poderia ser tão importante – ou impertinente ou qualquer outra coisa – para que seja considerado segredo.

Claro, isso não acontece sempre: algumas pessoas não fazem esses comentários – ou param de fazê-los depois de algumas vezes. Mas o fato é que quando você muda para o modo <em>Chat Secreto</em>, isso provoca uma certa reação emocional. Você imediatamente se sente como um espião, ou um fofoqueiro hardcore, ou parte de alguma outra operação sigilosa. Essa palavra simples e aparentemente inofensiva desencadeia uma resposta muito tendenciosa na mente das pessoas.

E quero enfatizar que isso acontece sem nenhuma razão objetiva. Quando você inicia um bate-papo no WhatsApp ou no Signal, ninguém pergunta ou se importa o motivo de você estar usando criptografia de ponta a ponta. Isso porque todos os bate-papos do WhatsApp e do Signal o usam sem perguntar! No Telegram, no entanto, o desejo natural de proteger um chat se transforma em parte do próprio chat, fazendo com que os participantes se sintam no mínimo desconfortáveis, se não totalmente idiotas.

4. Sem penduricalhos

A situação é ainda mais complicada pelo fato de que os chats secretos carecem de alguns recursos disponíveis nos chats normais e não criptografados. E embora a lista não seja longa – sem reações de emojis ou mensagens fixadas – sua ausência pode afastar algumas pessoas do uso de bate-papos seguros. E isso é compreensível: a falta de privacidade total parece abstrata, enquanto o desconforto de não poder dar um joinha é mais concreto.

Novamente, não há razão objetiva para isso. No WhatsApp, as reações de emoji funcionam perfeitamente – a criptografia de ponta a ponta não interfere nem um pouco. Só posso supor que os bate-papos secretos há muito se tornaram uma preocupação tão marginal para os desenvolvedores do Telegram que a implementação de novos recursos seja sempre priorizada em detrimento desta de segurança – indefinidamente.

5. Dois é bom, três é demais

Digamos que você consiga persuadir seus colegas de conversa de que não há nada de estranho no modo de chat secreto e que vale a pena perder alguns recursos em prol da privacidade. Isso em si não é uma conquista pequena – e nem todos podem realizá-la. Mas não fique muito feliz ainda: mais cedo ou mais tarde chegará um momento em que você precisará discutir algo em grupo. E naturalmente você quer fazer isso em um chat seguro. Aqui o Telegram tem outra surpresa para você: não é possível. Os chats em grupo do Telegram não podem ser criptografados de ponta a ponta. Ponto. Não existe essa opção.

Para falar em um grupo de três ou mais pessoas, você deve sacrificar a segurança ou arrastar todos para um bate-papo seguro em outro aplicativo. Se seus parceiros de bate-papo estão acostumados com o Telegram, o primeiro cenário é o resultado mais provável, pois basta uma pessoa teimosa para arruinar o esforço.

É certo que, do ponto de vista técnico, implementar a criptografia de ponta a ponta de bate-papos em grupo não é uma tarefa fácil. Dito isso, o mencionado WhatsApp, Signal e Threema fornecem criptografia de ponta a ponta de bate-papos em grupo por padrão, da mesma forma que para conversas individuais. O problema foi resolvido até para videoconferências.

6. Mais nem sempre é melhor

Há outra coisa no Telegram que dificulta a vida de seus usuários: a possibilidade de criar quantos chats secretos com a mesma pessoa você quiser. Está claro por que isso acontece: os bate-papos criptografados estão vinculados a uma chave de criptografia armazenada no dispositivo e não podem ser transmitidas para nenhum lugar. Evidentemente, os desenvolvedores do Telegram queriam possibilitar o uso do app em vários dispositivos simultaneamente. Daí a multiplicidade de diálogos criptografados: para cada novo dispositivo é necessário criar um novo chat secreto (embora o WhatsApp de alguma forma tenha conseguido resolver esse problema sem multiplicar os chats). E como essa opção existe, por que parar por aí? Vamos permitir que os usuários gerem quantos chats secretos desejarem (além dos regulares).

Admito que em algumas circunstâncias exóticas pode ser útil ter várias conversas separadas com a mesma pessoa. Mas na maioria dos casos é altamente inconveniente e adiciona confusão desnecessária. É especialmente desafiador tentar lembrar em qual dispositivo e em quais chats alguém lhe enviou um número de telefone ou outras informações (link, e-mail, número da conta, endereço) que são necessárias no momento. Para alguns, essa confusão é um argumento convincente contra o uso do modo chat secreto.

7. Mudando de aparelho

Chats regulares e não criptografados são armazenados nos servidores do Telegram e aparecem automaticamente em todos os dispositivos depois que você entra no messenger. Como mencionado acima, este não é o caso dos chats secretos criptografados: eles permanecem no dispositivo.

O que você deve fazer se comprou um novo telefone e deseja migrar todos os seus dados para ele, incluindo caixas de diálogo criptografadas do Telegram? Não há nada a fazer: o Telegram não permite que você transfira chats secretos para um novo dispositivo. Existem soluções de “alternativas” para Android, mas não são simples nem seguras de usar. E para usuários do iPhone, esses métodos duvidosos não existem. Portanto, se você mudar para um novo telefone, todas as mensagens do Telegram em bate-papos secretos serão perdidas para sempre.

Mais algumas nuances: primeiro, você teria que configurar todos os seus chats secretos novamente, lembrando com quem você conversou no seu dispositivo antigo. Em segundo lugar, você precisaria explicar a todos os seus contatos que você tem um novo telefone e que eles precisam mandar as informações para um novo chat porque você não tem mais acesso aos antigos. Não pense que o Telegram fará isso por você. Seus amigos ainda terão os bate-papos antigos em seus dispositivos. Eles até poderão enviar algo neles, mas você nunca os verá.

Sem segredos

Resumindo, embora em teoria seja possível se comunicar com segurança no Telegram por meio de chats secretos, na prática as coisas não são tão simples. Como a maioria das pessoas sempre prefere o caminho mais prático, elas acabam usando bate-papos regulares sem criptografia de ponta a ponta. Muitos provavelmente nem percebem que estão usando um canal desprotegido. Mas, mesmo que o façam, muitos, não veem sentido em sofrer por causa da privacidade e tratam as tentativas de comunicação segura com ceticismo.

Mais uma vez: proteger toda a sua comunicação do Telegram não é tarefa fácil. Requer muito esforço de sua parte e sem garantia de sucesso. E mesmo que com sangue, suor e lágrimas você consiga tornar seus diálogos secretos, seus bate-papos em grupo permanecerão não criptografados, aconteça o que acontecer.

Dicas