Guerra dos apps de mensagens
Nos últimos dias, usuários em todo o mundo estão instalando aplicativos concorrentes do WhatsApp, e tanto o Signal quanto o Telegram relatam dezenas de milhões de novos usuários. Qual é a diferença entre esses aplicativos em segurança, privacidade e recursos?
A mensagem que apareceu aos usuários do WhatsApp recentemente não anunciava uma mudança substancial ou algo que não conhecíamos sobre os termos de uso. Mas havia algo sobre uma condição "ou você concorda ou vai embora", o que fez com que os usuários verificassem aplicativos de mensagens concorrentes. Parece que o Facebook não avaliou adequadamente a onda de protestos que geraria essa mensagem e, após tentativas fracassadas de tranquilizar os usuários, a empresa anunciou um adiamento da data em que a mudança na política entrará em vigor. Apesar disso, muitos chegaram à conclusão de que uma substituição, como signal ou Telegram, é necessária. Mas esses aplicativos são realmente diferentes do WhatsApp? E quais são as diferenças entre eles?
Criptografia de ponta a ponta
O WhatsApp e o Signal são criptografados de ponta a ponta, já o Telegram não.
Muitas pessoas não sabem, mas tanto o Signal quanto o WhatsApp criptografam suas mensagens de ponta a ponta - usando o mesmo protocolo de criptografia.
No entanto, observe que se você habilitar a opção de backup de chat do WhatsApp - seus dados serão armazenados sem criptografia em seu Google Drive ou iCloud.
Por outro lado, no telegram a situação é um pouco diferente. O aplicativo possui duas opções de conversa: uma conversa normal (os chamados Cloud Chats) e uma conversa secreta (ou Secret Chats). No que diz respeito aos chats por telegram - as únicas chamadas que são criptografadas de ponta a ponta são as secretas, enquanto as regulares também são criptografadas - mas por meio dos servidores da empresa - ou seja, não de ponta a ponta. Sendo assim, se uma pessoa conseguir acesso ao seu tráfego de dados ela não conseguirá decifrar as mensagens, mas o próprio Telegram possui as chaves de criptografia e pode, eventualmente, ter acesso a suas mensagens.
A propósito, o governo russo exigiu há três anos do Telegram a entrega dessas chaves de criptografia e, quando o Telegram recusou, o aplicativo foi bloqueado no país, até que esse boicote pelo governo russo foi suspenso recentemente.
A criptografia das conversas do telegram é feita em um protocolo diferente do protocolo do signal - mas não muito diferente. O Telegram contou com o código aberto do popular protocolo e criou seu próprio protocolo de criptografia a partir dele. Assim, eles não usaram o protocolo diretamente, mas "se inspiraram".
Outra diferença é como os aplicativos guardam suas mensagens no seu celular, o único que criptografa o banco de dados é o Signal, ou seja, se algum malware estiver em seu celular ele poderá extrair suas mensagens do Telegram e WhatsApp, mas terá muitas dificuldades de extrair algo do Signal pois o banco de dados está criptografado.
Dados coletados
No entanto, parece que a maioria dos usuários está explorando as alternativas ao WhatsApp não por causa das opções de criptografia, mas por causa dos aspectos de privacidade e dados coletados.
O WhatsApp, por exemplo, recebe informações sobre você que incluem seus contatos, com quem você fez ligações (voz ou endereço), sua localização, como você usa os dados móveis (navegando na Internet), seu ID de usuário, hábitos de uso do aplicativo como o WhatsApp for Business (em torno do qual a nova mudança está se movendo) - saber com quais empresas você está falando e quando, juntamente com informações sobre compras e informações financeiras que você compartilhará com elas - é particularmente relevante em países onde o WhatsApp lançou o recurso Whatsapp Pay. A propósito, algumas dessas permissões são necessárias para habilitar certos recursos - portanto, se o WhatsApp não receber permissão de localização, você não poderá enviar uma localização ou localização em tempo real para amigos.
O Telegram, coleta menos informações sobre você. O aplicativo também pede permissões para ler SMS - que são necessárias para fins de verificação da conta (em vez de digitar uma senha que você recebeu na mensagem). Observe que a empresa começará a exibir anúncios como parte de uma mudança em seu modelo de lucro introduzida no mês passado pelo fundador e CEO Pavel Dorov - portanto, no futuro, podem haver mudanças nos requisitos do aplicativo.
O Signal, operado por uma organização sem fins lucrativos - Signal Foundation - não coleta informações vinculadas a você por meio do aplicativo. Junto com a criptografia ponta a ponta de todas as suas chamadas no aplicativo, você pode dormir tranquilo quando se trata de informações coletadas (ou melhor, não coletadas) pelo Signal.
Falhas de segurança
Além da necessidade de criptografar suas mensagens e manter a privacidade, o que acontece com as violações de segurança? Existem aplicativos ou infraestruturas mais ou menos seguros?
Todas as plataformas estão potencialmente expostas, nenhum aplicativo é considerado preferencial em relação ao outro ou imune a esse respeito. Não existe tal coisa. Eles estão todos expostos e provavelmente têm lacunas que ainda não foram expostas, quando se trata de criptografia, a situação é satisfatória e em chats criptografados de ponta a ponta e não há nada com que se preocupar - o problema começa com a capacidade de fazer a engenharia reversa de elementos desses aplicativos, o que pode levar a violações de segurança. Quanto mais variáveis houver, como uma API separada no caso do Telegram que permite que o aplicativo seja executado sem uma conexão direta com o dispositivo - ao contrário do WhatsApp - mais vetores de ataque são adicionados aos hackers. Ou seja, devido à ação do Telegram na nuvem, ele pode ter mais fragilidades, ao contrário do WhatsApp que não funciona de forma alguma na nuvem, exceto para os backups no Google Drive ou iCloud.
Vale lembrar que quanto mais popular um aplicativo mais especialistas em segurança irão testar-lo, ou seja, ainda não foi encontrado alguma falha grave no signal pois poucas pessoas tentaram achar uma, se ele ficar mais popular mais pessoas tentaram encontrar falhas de segurança no Signal.
Nossa própria equipe, Cysource Brasil já encontrou uma série de vulnerabilidades de segurança no WhatsApp, uma das quais incluía o envio de uma mensagem que fazia o aplicativo travar e excluir mensagens. A base para a fraqueza era a interface da web do WhatsApp - outra forma de atacá-lo.
Por outro lado, não há dúvida de que a última postagem do WhatsApp e do Facebook, que apareceu em bilhões de aparelhos, preocupou (com ou sem razão) os usuários e os levou a buscar outros aplicativos. E se contribuísse, mesmo que ligeiramente para a competição, todos nós ganharíamos.
O que fazer?
Não podemos aconselhar algo pois cada um tem suas necessidades, por um lado o WhatsApp e Signal tem criptografia de ponta a ponta, já o Telegram apenas para mensagens secretas.
A maioria das pessoas que pensam em mudar devido a criptografia de ponta a ponta faz backup de todas as mensagens no Google Drive ou iCloud e as mensagens já não são mais criptografadas de ponta a ponta.
O Signal recolhe menos informações de seus usuários, mas o que irá acontecer quando tiverem bilhões de usuários, quem irá pagar as contas para ele funcionar? Hoje ele consegue se sustentar pois com poucos usuários não é caro, mas uma despesa milionária desde programadores a servidores precisa ter como se sustentar, e no final de contas alguém precisa pagar as contas.
No final das contas, a escolha é baseada na sua necessidade - seja em determinados recursos, o fato de que toda a sua família ainda está lá (WhatsApp) ou a necessidade de criptografia ponta a ponta em todas as chamadas e não apenas em algumas (telegram)
Eu particularmente uso os três, cada um para um objetivo diferente.