As aplicações de mensagens instantâneas que usamos no Telemóvel, substituíram há muito a preponderância do SMS (Short Message Service) e vieram para ficar, pela prática e expedita forma de interagir em tempo real com outros utilizadores e/ou grupos de utilizadores, a um custo muito baixo ou nulo.
Por: *Daniel Castanho Paes *
Passaram em pouco tempo a fazer parte da forma como comunicamos regularmente, seja por mensagem escrita, de áudio, ou por viva voz, em tempo real.
Há muitas alternativas de mensagens/voz em tempo real (WhatsApp, Facebook Messenger, WeChat, Viber, Telegram, Snapchat, Skype, iMessage – aplicação para dispositivos Apple – ; entre outras); mas vamos salientar duas das mais usadas (Whatsapp e Telegram), e uma terceira menos usada, mas com características que importa trazer a discussão, para comparação, sobretudo nos aspectos de privacidade e segurança, que é o Signal.
Se comparamos estas aplicações nas suas componentes de, “Funcionalidade”; “Disponibilidade”; e “Facilidade de Uso”, temos o seguinte panorama:
Funcionalidade: O WhatsApp possui muitos recursos, como chamadas de voz e vídeo, partilha de documentos, partilha de localização e uma ampla variedade de Stickers e Emojis. Disponibiliza também a versão para PC, chamado WhatsApp Web, que permite aos utilizadores aceder à sua conta do WhatsApp em um computador desktop.
Disponibilidade: o WhatsApp está disponível em dispositivos Android e iOS e também pode ser usado por meio de um navegador web no computador.
Facilidade de uso: o WhatsApp é muito fácil de usar, com uma interface amigável, intuitiva e fácil de navegar.
Telegram
Funcionalidade: O Telegram possui muitos recursos semelhantes ao WhatsApp, incluindo chamadas de voz e vídeo, partilha de documentos e partilha de localização. Possui também um recurso exclusivo chamado “Canais”, que permite aos utilizadores transmitir mensagens para um grande número de utilizadores da aplicação.
Disponibilidade: O Telegram está disponível em dispositivos Android e iOS e também pode ser usado por meio de um navegador web no computador.
Facilidade de uso: O Telegram também é amigável, com uma interface simples e intuitiva.
Signal
Funcionalidade: O Signal possui muitos dos mesmos recursos do WhatsApp e Telegram, incluindo chamadas de voz e vídeo, partilha de documentos e partilha de localização. Possui um recurso chamado “Note to Self”, que permite aos utilizadores salvar facilmente notas e lembretes para si mesmos.
Disponibilidade: O Signal está disponível em dispositivos Android e iOS e também pode ser usado por meio de um navegador web no computador.
Facilidade de uso: O Signal também é amigável, com um interface simples.
Ou seja, praticamente as mesmas características base nas três aplicações, salientando a capacidade de grupos maiores no Telegram (até 200.000 participantes num grupo, sendo que no Whatsapp os grupos só podem ter 1024 participantes, e 1000 no Signal).
Quanto à popularidade, e número de utilizadores, sem dúvida que destas três apps o Whatsapp é o mais usado, com cerca de 2,4 biliões de utilizadores, seguido do Telegram com cerca de 500 milhões de utilizadores, e por último o Signal com apenas cerca 35 milhões de utilizadores.
Mas vamos agora falar sobre as componentes de segurança destas três aplicações. Para começar é importante lembrar que quando usamos aplicações de mensagem em dispositivos móveis, há várias componentes de informação envolvidos; O conteúdo das mensagens propriamente dito (ou seja, o texto, o áudio, imagens ou vídeo que produzimos e partilhamos), mas também os metadados. O que são os metadados? Os metadados referem-se às informações sobre uma mensagem que não são o conteúdo da própria mensagem. Isso pode incluir dados como a data e a hora em que uma mensagem foi enviada ou recebida, o remetente e o destinatário da mensagem, a duração da mensagem e o tipo de mensagem (por exemplo, texto, foto, vídeo), o endereço IP (Internet Protocol) de origem e de destino.
Os metadados podem ser valiosos para as empresas de várias maneiras, incluindo:
.Análise e marketing: as empresas podem analisar metadados para obter informações sobre o comportamento do utilizador, como quando estão mais activos na app ou quais tipos de conteúdo preferem. Essas informações podem ser usadas para melhorar a aplicação ou para criar campanhas de marketing direccionadas.
.Personalização: as empresas podem usar metadados para personalizar a experiência da app para utilizadores individuais, como sugerir contactos ou grupos nos quais possam estar interessados com base em seus padrões de uso.
.Monetização: as empresas podem usar metadados para gerar receita por meio de publicidade ou vendendo dados do utilizador para empresas de publicidade ou outras empresas de venda de bens e serviços.
A razão pela qual a Meta (na altura Facebook) comprou a aplicação Whatsapp em 2014, pelo na altura valor recorde, de 19 biliões de USD, foi exactamente para poder usar os metadados para publicidade direccionada, (juntamente com informação dos utilizadores colectada no próprio Facebook (agora Meta). Há também valor que vem do serviço pago Whatsapp Business, e a futura ideia de ter publicidade paga na app (ainda não avançou esta última).
O serviço de mensagens no WhatsApp sempre foi e continua a ser encriptado desde a origem até ao receptor. Mas os metadados não e estes revelam informações pessoais e confidenciais sobre as suas comunicações. E quando recolhidos, levam a menor privacidade.
Que metadados recolhe o Whatsapp?
.Números de telefone do remetente e do destinatário;
.Hora e data da mensagem;
Entrega de mensagens e confirmações de leitura;
.Endereços IP e informações do dispositivo (incluindo sistema operativo, modelo do telefone e versão da aplicação);
.Fotos de perfil e informações do grupo;
.Actualizações de estado e actividade do utilizador (como quando um utilizador foi visto online pela última vez).
O WhatsApp não retém o conteúdo das mensagens nos seus servidores após a entrega, e existe criptografia de ponta a ponta para todas as mensagens, o que significa que apenas o remetente e o destinatário têm acesso à mensagem efectiva. No entanto, os metadados listados acima ainda podem fornecer informações significativas sobre os padrões e hábitos de comunicação de um utilizador, ou de grupos de utilizadores (quem fala com quem e com que frequência).
Se olharmos agora para o Telegram, as preocupações de segurança são incomensuravelmente maiores.
No Telegram, a criptografia de ponta a ponta (end-to-end) não está configurado por defeito: embora o Telegram ofereça criptografia de ponta a ponta para os chats secretos, esse recurso não é configurado por defeito para chats regulares. Ou seja, os conteúdos das comunicações não encriptadas, são acessíveis à empresa Telegram.
Quanto a protocolo de encriptação, o Telegram usa seu próprio protocolo de criptografia, que alguns especialistas em segurança criticaram por não ser tão seguro até pela falta de transparência sobre criptografia usada, pelo facto do protocolo ser um protocolo que não é de código aberto, não é validável por outros, nas suas eventuais falhas ou limitações.
O WhatsApp e o Signal usam ambos End-to-End Encryption (E2EE) para encriptação de mensagens (áudio ou texto)
O WhatsApp usa o Signal Protocol, que foi desenvolvido pela Open Whisper Systems, e é implementado com o algoritmo Double Ratchet. Isso garante que cada mensagem seja criptografada com uma chave exclusiva, tornando difícil para um hacker descriptografar as mensagens, mesmo que consiga obter a chave para uma mensagem.
O Signal também usa o Signal Protocol para E2EE, mas usa uma implementação ligeiramente diferente do algoritmo Double Ratchet do que o WhatsApp. A criptografia do Signal foi projetada para ser muito segura, com recursos como sigilo de encaminhamento e autenticação negável.
No geral, tanto o WhatsApp quanto o Signal usam protocolos de criptografia fortes para proteger as comunicações dos seus utilizadores.
Já o Telegram não partilhou, nem partilha o seu protocolo de criptografia para escrutínio público. Essa falta de transparência levanta questões sobre a força e a confiabilidade da criptografia do Telegram (quando aplicada de todo…)
Quanto a armazenamento das mensagens enviadas, o Telegram permite que os utilizadores armazenem as mensagens dos utilizadores nos servidores de Telegram, o que algumas pessoas veem como um risco potencial à segurança, especialmente se as mensagens contiverem informações sensíveis ou confidenciais. Embora o Telegram tenha implementado medidas para proteger os seus servidores e impedir o acesso não autorizado, algumas pessoas podem preferir uma aplicação como o Whatsapp ou o Signal, que não armazena mensagens em nenhum servidor da empresa da aplicação.
Relativamente a metadados o Telegram não colecta dados do utilizador para fins de publicidade, mas colecta metadados, como endereços IP e números de telefone do utilizador. Esses metadados podem ser usados para identificar utilizadores e rastrear as suas actividades, o que algumas pessoas (e organizações) podem achar preocupante.
Por último, o Telegram foi criado por Pavel Durov, um empresário russo, e a empresa está sediada no Dubai. Algumas pessoas têm a preocupação adicional de que os laços do Telegram com a Rússia e os Emirados Árabes Unidos possam torná-lo vulnerável à vigilância ou interferência da empresa e de governos.
No geral, embora o Telegram ofereça muitos recursos que os utilizadores podem achar interessantes (sobretudo os grupo grandes), algumas pessoas preocupam-se com a segurança e a privacidade da aplicação.
Por estas razões de segurança, existem organizações públicas que proibiram os seus funcionários de usar o Telegram ou WhatsApp para comunicações relacionadas com trabalho devido precisamente a estas questões de segurança. Por exemplo, a Comissão Europeia proibiu os seus funcionários de usar Whatsapp ou Telegram para comunicação relacionada com trabalho, citando preocupações sobre suas práticas de segurança e proteção de dados. Da mesma forma, o governo indiano proibiu o uso destas aplicações pelos seus funcionários para comunicações confidenciais, citando preocupações sobre as práticas de segurança e privacidade de dados. E muitas outras organizações públicas e privadas aplicaram politicas de restrição semelhantes aos seus colaboradores para proteger informações confidenciais e garantir uma comunicação mais segura, de tópicos de índole laborar e confidencial.
Falando agora do Signal, de como surgiu e que abordagem tem relativamente a segurança e porquê.
O WhatsApp foi fundado por Jan Koum e Brian Acton em 2009 (ambos ex-colegas na Yahoo).
O Facebook adquiriu o WhatsApp em 2014, e ambos permaneceram na liderança da empresa.
No entanto, surgiram tensões entre Acton e a liderança do Facebook sobre os planos de monetizar a aplicação, introduzindo publicidade direccionada e outras formas de monetização utilizando informação dos metadados dos utilizadores, algo que Brian Acton não concordava pois a privacidade dos utilizadores tanto na mensagem como nos metadados deveria ser prioridade, no seu entender (e fazia parte da missão inicial da WhatsApp, antes da aquisição pelo Facebook).
Em 2017, Acton anunciou a sua saída do WhatsApp, partilhando que iria focar-se em filantropia e tecnologia. Assim tornou-se um dos co-fundadores da Signal Foundation, uma organização sem fins lucrativos que apoia o desenvolvimento da aplicação de mensagens Signal e promove a privacidade e a protecção de dados. Acton tem sido um grande defensor da privacidade e da criptografia e tem-se “manifestado” contra a tendência crescente de monetização e vigilância de dados por empresas de tecnologia e governos.
Assim, e se falarmos de segurança e privacidade, o Signal oferece várias vantagens de segurança sobre o WhatsApp e o Telegram, que podemos sumarizar da seguinte forma:
. Criptografia de ponta a ponta: o Signal usa criptografia de ponta a ponta (E2EE) para todas as mensagens e chamadas, o que garante que apenas o remetente e o destinatário possam acessar o conteúdo da comunicação. O WhatsApp também usa E2EE, mas o Telegram oferece apenas E2EE opcional e não está configurado por padrão para todas as conversas;
. Software de código aberto: o Signal é um software de código aberto, o que significa que o código está disponível publicamente para qualquer pessoa inspeccionar e rever. Isso aumenta a transparência e permite que especialistas em segurança identifiquem e corrijam possíveis vulnerabilidades na aplicação;
. Colecta mínima de dados: o Signal coleta muito poucos dados dos utilizadores, o que reduz o risco de exposição em caso de violação ou invasão de dados. Por outro lado, o WhatsApp e o Telegram colectam mais dados dos utilizadores, incluindo metadados, como registros de chamadas e mensagens;
. Mensagens autodestrutivas: o Signal permite que os utilizadores definam mensagens para se autodestruírem após um determinado período de tempo, o que pode proteger ainda mais a privacidade de informações confidenciais;
. Melhores configurações de segurança padrão: o Signal tem melhores configurações de segurança padrão do que o WhatsApp e o Telegram, como exigir autenticação biométrica para acesso à aplicação e desabilitação de visualização de mensagens nas notificações por defeito.
No geral, a ênfase do Signal em segurança e privacidade torna-o uma escolha mais forte para utilizadores preocupados em proteger as suas comunicações e conteúdos.
De maneira nenhuma estou a advogar que não se usem as aplicações que sejam menos seguras, já aqui referidas; mas sim, que tenhamos a perfeita noção e conhecimento dos moldes em que a nossa informação é colectada e está exposta em cada uma delas, para podermos decidir e ponderar que meio usar para os diferentes fins e objectivos que pretendamos. No fundo, para podermos tomar, também neste foro, decisões informadas.
Se pretendemos de forma simples e eficaz chegar a muitos utilizadores (2,4 biliões de utilizadores) de forma encriptada end-to-end, no conteúdo, mas sem preocupação de que colectem e usem os nossos metadados, o Whatsapp é perfeito.
Se queremos ter acesso a grupos vastos de partilha, que podem ir até 200.000 utilizadores, e não nos importamos com a privacidade dos nossos conteúdos e metadados (não há encriptação por defeito, e o algoritmo de encriptação não é de fonte aberta nem muito conhecido) nem com o facto de ficarem alojados em servidores terceiros os nossos conteúdos, o Telegram é alternativa válida.
Se a privacidade e confidencialidade é factor essencial, a opção é o Signal.
Deixe um comentário