Publicamos várias comparações de aplicativos de mensagens seguros com criptografia de ponta a ponta, configurações recomendadas e apontamos as respectivas falhas desses aplicativos. Mas e como fazer se você quer usar apps de mensagens seguras, mas não é exatamente um expert em tecnologia? Este post é exatamente sobre isso, com base em um extenso estudo e relatório publicado intitulado What Is Secure (Quem oferece segurança?) por um grupo de especialistas das agências Tech Policy Press e Convocation Research and Design.
O relatório traz recomendações para usuários e desenvolvedores. Mas como nem todo mundo tem tempo de ler 86 páginas de texto, resumimos as principais conclusões abaixo.
Objeto de estudo
Os pesquisadores entrevistaram grupos de usuários na Louisiana, nos EUA, e em Delhi, na Índia, para determinar os pontos fortes e fracos dos aplicativos de mensagens atuais. Os seguintes aplicativos populares foram analisados:
- Apple iMessage
- Meta (Facebook) Messenger
- Messages da Google
- Signal
- Telegram
O estudo se concentrou na maneira como as pessoas respondem às dicas do aplicativo e como entendem o significado de cada recurso. Mais importante, os entrevistados foram questionados sobre quaisquer medos específicos e de que maneira eles acham que os aplicativos de mensagens seguros são ou podem ser úteis nas suas vidas. Alguns dos entrevistados disseram se preocupar com a possibilidade de violência física, como violência doméstica, resultante do vazamento das mensagens, enquanto outros temem a perseguição por parte das autoridades. Isso teve um efeito importante na sua percepção de “segurança”.
Principais conclusões
A criptografia de ponta a ponta é apenas um aspecto da segurança. As mensagens criptografadas não resolverão todos os problemas enfrentadas por usuários ameaçados. Portanto, é preciso pensar em uma estratégia contra ofensores com uma motivação. Existe o risco de seu telefone ser tomado por alguém? Há risco de você sofrer coação para desbloqueá-lo? Você tem medo de que alguém tente obter seus dados da empresa proprietária do aplicativo por meio de litígio ou ordem judicial? Ou que seu telefone seja infectado com spyware? Seria mais fácil para os criminosos tentarem extrair os dados da pessoa com quem você está conversando? Para muitos, a resposta para cada uma das perguntas acima é não. Portanto, um aplicativo que oferece mensagens criptografadas garante a segurança suficiente por si só. E mesmo que sua resposta seja sim, não há razão para desistir da criptografia e das mensagens seguras: elas só precisam ser uma camada de suas defesas.
Como dicas adicionais, os pesquisadores recomendam que os grupos de usuários vulneráveis acima adotem várias medidas técnicas (mais sobre as abaixo), mas, o mais importante, não carreguem seus telefones em locais onde possam ser fisicamente apreendidos ou desbloqueados à força. Eles sugerem obter um segundo telefone para esses lugares perigosos e manter o dispositivo principal com uma pessoa em quem podem confiar.
Dicas gerais sobre serviços de mensagens seguras
Os maiores segredos devem ser contados cara a cara. Nenhum método de comunicação digital é completamente seguro. Portanto, as informações de maior risco, especialmente se representarem uma ameaça à saúde ou mesmo à vida, devem ser trocadas pessoalmente, não em um bate-papo.
Não tome decisões às cegas. Os usuários fazem esforços conscientes para proteger sua privacidade, mas geralmente confiam no senso comum sobre segurança, em vez de fontes verificadas. Poucos leem os documentos que acompanham os aplicativos de mensagens: termos de uso ou relatórios de transparência e compartilhamento de dados do governo. Pesquise cuidadosamente o que seu serviço de mensagens realmente armazena e onde e com quem esse serviço compartilha dados e compartilhou no passado. Essas informações podem ser encontradas em relatórios de transparência e press-releases.
Revise cuidadosamente as configurações do aplicativo. Entenda cada configuração e ative todas as opções mais seguras. Lembre-se de que seções relativas a configurações de privacidade podem estar espalhadas pelas configurações gerais do telefone (especialmente para iMessage no iOS e Mensagens do Google no Android) ou seções das configurações do aplicativo (típico do Telegram).
Evite modos híbridos. Vários aplicativos de mensagens oferecem suporte a mensagens criptografadas e não criptografadas. No iMessage e no Messages da Google, você pode enviar textos abertos e mensagens criptografadas no mesmo chat. Mas, saiba que isso é uma má ideia, pois esses tipos de mensagens são sempre confusos. Tanto o Messenger quanto o Telegram têm bate-papos criptografados e não criptografados separados, com o modo não criptografado usado por padrão. O artigo recomenda o uso de aplicativos de mensagens baseados em criptografia total: Signal ou WhatsApp.
Quanto mais recursos, maior o risco. Recursos extras, como histórias, bots ou links para serviços de redes sociais, fornecem canais extras que exigem vigilância e vazamento de dados. É melhor desativar esses tipos de recursos ou evitar o uso do aplicativo.
Desative visualizações de link, compartilhamento de geolocalização e GIFs. Às vezes, esses recursos são úteis, mas podem ser usados para rastreá-lo por várias partes, incluindo sites vinculados. Outro canal de vazamento em potencial é encontrar e compartilhar GIFs em chats.
Aplicativos de mensagens que funcionam sem um número de telefone são úteis. Isso inclui, até certo ponto, o Telegram, Messenger e iMessage, embora seja necessário algum esforço para configurar cada um deles para usar seu nome de usuário interno ou e-mail como identificador durante o bate-papo. De acordo com o relatório, o WhatsApp e o Signal também planejam adicionar um recurso como esse.
Use mensagens que desaparecem. Os mais cuidadosos podem permitir que os chats sejam excluídos automaticamente após um curto período de tempo, como um minuto. Infelizmente, nem todo aplicativo de mensagens tem opções como essas e, em alguns deles, o período de visibilidade mais curto é de 24 horas. As mensagens que desaparecem fazem pouco para proteger de capturas de tela ou outras maneiras pelas quais os bate-papos podem ser salvos. A exclusão automática de mensagens é útil se você acha que estranhos podem vasculhar seu telefone em um dado momento.
Criptografe backups de bate-papo. Os backups em nuvem padrão são um canal de vazamento frequente, por isso é imperativo que sejam criptografados (algo que precisa ser ativado manualmente no WhatsApp e no iMessage), salvos localmente (por exemplo, em um cartão SD se estiver usando um telefone Android) ou totalmente desligado. Quaisquer backups locais também devem ser criptografados.
Compare as chaves de criptografia com as pessoas com quem você conversa. Esse procedimento é chamado de Verificação de Chave de Contato (no iMessage), Números de Segurança (no Signal), Código de Segurança (no WhatsApp) e Chave de Criptografia (no Telegram) e ajuda a garantir que você está conversando com a pessoa certa, usando o dispositivo certo. As chaves de criptografia podem ser verificadas para cada bate-papo comparando códigos ou encontrando-se cara a cara.
Proteja-se contra invasão de conta ativando a autenticação de dois fatores. Esse recurso possui vários nomes, como verificação em duas etapas, PIN de registro, dentre outros, mas a essência permanece a mesma: fazer login na mesma conta em um novo dispositivo requer uma etapa extra de verificação.
Eduque as pessoas com quem você conversa. Isso é crítico para grupos que conversam sobre assuntos delicados. Isso requer que todos os membros compartilhem e observem as seguintes regras de ética e segurança:
- Nenhum encaminhamento de informações confidenciais
- Nenhuma captura de tela ou outras cópias das informações no chat
- Apoiar uma cultura de privacidade dentro da comunidade
- Usar as configurações do aplicativo com sabedoria
- Desativar recursos de bate-papo potencialmente arriscados
Qual é o aplicativo de mensagens mais seguro?
O Signal é líder com vantagem de acordo com o estudo, mas a exigência de expor seu número de telefone torna a situação de uso um tanto complicada. A tabela abaixo contém uma comparação dos principais recursos de segurança do aplicativo de mensagens, com a opção mais segura em cada linha destacada em verde.
Apple iMessage | Meta (FB) Messenger | Google Messages | Signal | Telegram | ||
Criptografia de ponta a ponta em bate-papos individuais | Em alguns casos* | Tipo especial de bate-papo | Em alguns casos* | Sempre | Somente bate-papos secretos | Sempre |
Criptografia de ponta a ponta em bate-papos em grupo | Em alguns casos* | Tipo especial de grupo | Em alguns casos* | Sempre | Nunca | Sempre |
Protocolo de criptografia verificado | Não | Sim | Sim | Sim | Não | Sim |
Backups criptografados | Sim, opcional | Sem backup | Não | Sim, ativado por padrão | Sem backup | Sim, opcional |
Comparação manual de chaves de criptografia | Sim | Sim | Não | Sim | Sim | Sim |
Registro sem número de telefone | Sim | Sim (complexo) | Não | Não | Não | Não |
Ocultar número de telefone de contatos | Sim | Sim | Não | Não | Sim | Não |
Links contendo outros serviços ou contas | Sim | Sim | Não | Não | Não | Sim |
Ocultar metadados** | Parcial | Parcial | Parcial | Sim | Parcial | Parcial |
Armazenar metadados** | Sim | Sim | Sim | Não | Sim | Sim |
Mensagens autodestrutivas | Não | Cinco segundos ou mais | Não | Um segundo ou mais | Um segundo ou mais | 24 horas ou mais e visualização única |
Desativar visualizações de link | Não | Não | Não | Sim | Somente bate-papos secretos | Não |
Bloqueio de capturas de tela | Não | Não | Não | Sim | Somente bate-papos secretos | Não |
Alerta de captura de tela | Não | Sim | Não | Não | Não | Não |
* Disponível desde que todas as partes estejam usando a mesma plataforma (iOS ou Android) e as configurações de aplicativo apropriadas. | ||||||
** Configurações de confidencialidade para evitar mostrar a outros usuários os seguintes metadados parcial ou totalmente: a foto do usuário, os outros contatos do usuário, bate-papo e associações de grupo, endereço IP e horários de bate-papo. | ||||||
A tabela baseia-se nos dados do relatório What is Secure? |