January 9, 2017

Por que eu falei para meus amigos pararem de usar WhatsApp e Telegram.

Read original post in English.

Translated by Colectivos Das Lutas.

Criptografia ponta-a-ponta não evita a coleta de metadados.


Essa manhã eu falei para meus amigos pararem de usar WhatsApp e Telegram e mandei pra eles um convite para trocarem pelo aplicativo de mensagens Signal.

Eis o porquê.

Protocolos de criptografia: O protocolo Signal versus o protocolo MTProto do Telegram

Você pode não saber, mas provavelmente já está usando o Protocolo Signal — assim como mais de um bilhão de pessoas todos os dias.

O protocolo Signal é utilizado pelos aplicativos de mensagens WhatsApp, Facebook Messenger, Google Allo e Signal.

Mas o que é o protocolo Signal?

O protocolo Signal é um protocolo de criptografia não-federado que fornece criptografia ponta a ponta para conversas por mensagens instantâneas — Wikipédia

A criptografia de ponta a ponta garante que sua mensagem seja transformada em uma mensagem secreta por seu remetente original e, em seguida, apenas decodificada pelo destinatário final.

Isso é o que o WhatsApp começou a usar há alguns meses quando exibiu esta mensagem em sua conversa:

WhatsApp encryption announcement messageWhatsApp encryption announcement message

O Protocolo de Signal foi construído pela Open Whisper System, um grupo sem fins lucrativos que foi fundado em 2013 pelo ex-chefe de segurança do Twitter, Moxie Marlinspike, depois que a plataforma de mensagens de 140 caracteres adquiriu a primeira empresa de mensagens seguras da Open Whisper.

O Open Whisper System foca no desenvolvimento do Protocolo Signal e também mantém um aplicativo de mensagens chamado Signal. A organização sem fins lucrativos é financiada através de uma combinação de doações e subsídios.

Em outubro de 2016, o protocolo Signal foi revisado por uma equipe internacional de pesquisadores de segurança e recebeu críticas brilhantes.1

Dito isso, você pode pensar que está bem seguro, já que WhatsApp, Facebook Messenger, e Google Allo também usam o protocolo Signal.

Bem, você não está.

O Facebook Messenger e o Google Allo não ativam a criptografia de ponta a ponta em sua modalidade padrão. Usuários do Facebook Messenger têm que ativar Conversas Secretas” e os usuários do Google Allo têm que ativar o modo de navegação anônima.

Telegram, o aplicativo de 100 milhões de usuários feito pelo fundador da rede social VK, Pavel Durov, usa seu próprio protocolo de criptografia: MTProto. Telegram foi objeto de um monte de controvérsias sobre o seu protocolo de criptografia. Em seguida, em 2015, um pesquisador de segurança publicou um documento revelando várias grandes brechas no MTProto e concluiu que o Telegram não deveria ter tentado rodar sua própria criptografia.

Portanto, isso nos deixa com WhatsApp e Signal — as duas únicas aplicações que tem como padrão o uso do Protocolo Signal para todas as mensagens enviadas. Você pode estar perguntando por que não ficar com o WhatsApp então? A razão está na coleção de metadados do WhatsApp.

Coleta de dados e de metadados

A coleta de metadados e de dados têm estado frequentemente no centro dos debates, com as partes envolvidas muitas vezes mantendo uma linha de declarações:

Não podemos ouvir / ler o conteúdo da sua comunicação porque usamos criptografia de ponta a ponta, só podemos coletar metadados.

Metadados tem sido frequentemente um termo obscuro. Para sua conveniência, abaixo está uma definição clarificada de metadados:

Seus leitores têm dificuldade em entender o termo “metadados”? Substitua-o por “registros de atividade”. Isso é o que eles são. #clarezaSeus leitores têm dificuldade em entender o termo “metadados”? Substitua-o por “registros de atividade”. Isso é o que eles são. #clareza

Se para você ainda não está claro o que é metadados, leia o post de EFF por Kurt Opsahl. Ele dá exemplos do que as empresas ou os governos sabem quando coletam metadados2:

Eles sabem que você ligou para um serviço de sexo por telefone às 2:24 da manhã e falou por 18 minutos. Mas eles não sabem do que você falou.

Eles sabem que você ligou para a linha direta de prevenção de suicídio da Golden Gate Bridge. Mas o tópico da chamada permanece um segredo.

Eles sabem que você falou com um serviço de testes de HIV, em seguida, com o seu médico, e logo em seguida, com sua companhia de seguro de saúde. Mas eles não sabem o que foi discutido.

Agora que você sabe o que são os metadados, deixe-me reiterar: o uso de criptografia de ponta a ponta não impede que os serviços de mensagens coletem metadados.

Vamos ver o que esses caras estão coletando:

WhatsApp

Em suas FAQ o WhatsApp afirma3 que seu aplicativo tem acesso a todos os números de telefone no seu catálogo de endereços e que ele coleta4 uma miríade de informações sobre você.

O que é interessante é que o WhatsApp não armazena suas mensagens em seus servidores. Em vez disso, suas mensagens são armazenadas em seu telefone — em seguida, em última análise, nos servidores onde você faz backup de seu telefone. Por exemplo, se você usa um iPhone, todas as suas mensagens do WhatsApp são armazenadas no iCloud, se você usá-lo como um backup.

Quanto à informação de que o WhatsApp coleta quando, onde e com quem você se comunica, isso é muito mais vago. Aqui está o que eles dizem:

Informações de uso e de registro. Coletamos informações relacionadas ao serviço, diagnóstico e desempenho. Isso inclui informações sobre sua atividade (como você usa nossos Serviços, como você interage com outras pessoas usando nossos Serviços, etc.), arquivos de registro, e relatórios e registros de diagnóstico, de falhas, de website e de desempenho.

O WhatsApp também coleta informações específicas do dispositivo quando você instala, acessa ou usa seu serviço — como o modelo de seu telefone, seu sistema operacional e informações do navegador, endereço IP e rede móvel — incluindo seu número de telefone.

E se eles não conseguirem coletar essas informações através do seu telefone, eles obterão quando as pessoas enviarem uma mensagem, já que o WhatsApp também tem acesso aos dados de atividade de seus amigos.

Além dos backups não criptografados, outras preocupações foram delineadas pela Electronic Frontier Foundation sobre a notificação de mudança de chave, o aplicativo da WhatsApp na Web e seu compartilhamento de dados com o Facebook, que adquiriu o WhatsApp em 2014.

Falando de Facebook …

Facebook Messenger

MIT Technology Review escreveu:

Facebook está coletando o mais extenso conjunto de dados já montado sobre o comportamento social humano.”5

Eu não preciso detalhar os dados que o Facebook coleta. O Facebook é seu amigo, então eles fizeram algo muito simples para você entender o quão próximos de um amigo eles são:

facebook data collection policyfacebook data collection policy

Google Allo

Google Allo tem sido amplamente criticado6 por especialistas em segurança.

Não só o Google pode realmente ler cada mensagem que você diz, eles vão armazenar todas as conversas.

É assim tão simples.

Aqui está a propaganda de língua inglesa de Edward Snowden para Allo:

Livre para download hoje: Google Mail, Google Maps e Google Vigilância. Isto é: #Allo. Não use Allo.Livre para download hoje: Google Mail, Google Maps e Google Vigilância. Isto é: #Allo. Não use Allo.

Telegram

O Telegram é problemático uma vez que, como eu já mencionei, seu protocolo de criptografia não é seguro. Mas vamos deixar isso de lado e olhar para o que eles coletam de você.

Mensagens, fotos, vídeos e documentos são criptografados e armazenados nos servidores do Telegram (exceto pelas mensagens do Chat secreto, que não são armazenadas nos servidores do Telegram). Como o WhatsApp e o Facebook, o Telegram acessa e armazena sua lista de contatos em seu servidor. É assim que eles são capazes de enviar uma notificação quando alguém novo de sua lista de contatos se junta ao Telegram. Muito gentil da parte deles, certo?

Signal

Edit June 2022: I no longer use Signal. I deleted my account, mainly because it is a walled garden.

O único dado que o Signal retém é o número de telefone com o qual você se registrou e quando foi conectado pela última vez ao servidor.7

É isso.

Ele nem mesmo grava a hora, minuto ou segundo — apenas o dia.

Se você ainda está se sentindo desconfiado, Signal também tem o serviço de mensagens que desaparecem.

E o Signal é livre. Realmente livre. O que significa que eles não estão tentando transformar seus globos oculares em um produto para anunciantes como o Facebook ou o Google querem fazer com seus aplicativos de mensagens. Você pode doar para Signal aqui.

Além do mais, o código do Signal é livre e open-source, disponível no GitHub para você verificar.8

Por que você deve se preocupar com sua privacidade?

Você pode ser tentado a dizer algo como:

Quem se importa? Não tenho nada a esconder.”

Se você acha que não tem nada a esconder, tente uma coisa: compartilhe a senha de sua caixa de correio com seus amigos.

Edit 24/01/2017: Anteriormente, afirmamos que seu protocolo de criptografia [do Telegram] não é seguro.“. Telegram Messenger apresentou alguns esclarecimentos através da publicação de um post comentando sobre o achado de J. Jakobsen.9



  1. https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎

  2. https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎

  3. https://faq.whatsapp.com/en/general/20971813↩︎

  4. https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎

  5. https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎

  6. www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎

  7. https://signal.org/legal/↩︎

  8. https://github.com/signalapp↩︎

  9. https://telegra.ph/mtproto-security-01-17↩︎

✍✍✍✍✍✍✍✍✍✍✍✍✍✍

I do self-funded research and I'm writing a book.

> What's the book about?

About technologies and agency.

Meaning, technologies can foster agency. No doubt. But I am also asking:

Can usage of technologies give us a sense of empowerment while in fact undermining our abilities?

I posted a summary of the prologue on the homepage: https://yctct.com/

✍✍✍✍✍✍✍✍✍✍✍✍✍✍

No affiliate links, no analytics, no tracking, no cookies. This work © 2016-2024 by yctct.com is licensed under CC BY-ND 4.0 .   about me   contact me   all entries & tags   FAQ   GPG public key

GPG fingerprint: 2E0F FB60 7FEF 11D0 FB45 4DDC E979 E52A 7036 7A88