Estou com sorte 😉

Separamos este artigo para você!

Comparação de Privacidade e Segurança entre aplicativos de mensagens

Nos últimos meses, o Instituto Procomum, em parceria com o projeto desinformante, para mapear possibilidades de reimaginação da internet como um lugar livre e acessível a todos e livre de desinformação. Mas pesquisar a desinformação nos leva também a compreender como isso se relaciona com questões de privacidade e segurança digital, uma vez que seus dados pessoais são usados como guias para os algorítimos, e como esses mesmo algorítimos são responsáveis pela expansão de notícias falas e desinformação com o objetivo de manter seus usuários conectados em suas plataformas pelo maior tempo possível.

E, como um subproduto da pesquisa sobre desinformação online, sugiu a idéia de elaborar esse quadro comparativo entre ferramentas de mensagens instantâneas em relação à proteção da privacidade dos usuários. Ou seja, da sua privacidade.

A tabela pode ser navegada horizontalmente e verticalmente, e, abaixo dela, existem duas seções de textos: uma com uma avaliação geral a respeito de cada mensageiro e, após, uma explicação dos indicadores usados para a construção da tabela.

Esperamos que vocês se divirtam, se mantenham informadas e, principalmente, seguras.

Legenda

 = Bastante preocupação.
 = Preocupante.
 = Nada preocupante.
 = Não consegui encontrar nenhuma informação sobre isso.
N / A = Não aplicável.

Principais motivos pelos quais o aplicativo não é recomendado

O Google foi apontada como parceira da NSA nos vazamentos de Snowden.

O modelo de negócios do Google está pautado na coleta de informações do usuário e, portanto, há pouco incentivo para que o Google realmente proteja as informações dos usuários.

O histórico geral do Google em privacidade digital é ruim, considerando que seu modelo de negócios depende da coleta de informações do usuário.

Os metadados não são criptografados e, portanto, carimbos de data / hora / localização / remetente / destinatário / etc. não são criptografados. Os metadados fornecem às agências de inteligência muitos dados para deduzir o que as pessoas estão fazendo por meio de sua localização, para quem estão enviando mensagens, quando estão enviando mensagens, etc.

O aplicativo e os servidores de back-end não são de código aberto e, com isso, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Os dados não são criptografados em repouso no iOS e Android e, portanto, os dados do usuário não são protegidos se o dispositivo for comprometido.

Há muito pouca documentação e, deste modo, ninguém sabe os detalhes de implementação da criptografia, a segurança da infraestrutura ou mesmo a segurança do próprio aplicativo.

Não houve nenhuma auditoria de código e uma análise de segurança independente. Sendo assim, devemos aceitar a palavra do Google. Ninguém pode fazer a própria lição de casa, incluindo o Google.

O Facebook foi apontado como parceiro da NSA nos vazamentos de Snowden.

O modelo de negócios do Facebook baseia-se da coleta de informações do usuário e, sendo assim, há pouco incentivo para que o Facebook realmente proteja as informações dos usuários.

O histórico geral do Facebook em privacidade digital é ruim, considerando que seu modelo de negócios depende da coleta de informações do usuário.

A criptografia não é ativada por padrão.

Os metadados não são criptografados e, portanto, carimbos de data / hora / localização / remetente / destinatário / etc. não são criptografados. Os metadados fornecem às agências de inteligência muitos dados para deduzir o que as pessoas estão fazendo por meio de sua localização, para quem estão enviando mensagens, quando estão enviando mensagens, etc.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Há pouquíssima documentação e, sendo assim, ninguém sabe os detalhes de implementação da criptografia, a segurança da infraestrutura ou mesmo a segurança do próprio aplicativo.

Não houve nenhuma auditoria de código e uma análise de segurança independente. Sendo assim, devemos aceitar a palavra do Facebook. Ninguém pode fazer a própria lição de casa, incluindo o Facebook.

A Apple foi apontada como parceira da NSA nos vazamentos de Snowden.

O histórico geral da Apple em privacidade digital é ruim / misto. Por exemplo, a Apple foi paga pelo Google para definir o navegador padrão do iOS como Google. O iCloud não é criptografado.

A criptografia usa primitivos criptográficos fracos e o sigilo de encaminhamento perfeito não é implementado e, se o iCloud estiver ativado, a Apple terá acesso completo às mensagens.

Os metadados não são criptografados e, portanto, carimbos de data / hora / localização / remetente / destinatário / etc. não é criptografado. Os metadados fornecem às agências de inteligência muitos dados para deduzir o que as pessoas estão fazendo por meio de sua localização, para quem estão enviando mensagens, quando estão enviando mensagens, etc.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Há pouquíssima documentação e, portanto, ninguém sabe os detalhes de implementação da criptografia, a segurança da infraestrutura ou mesmo a segurança do próprio aplicativo.

Não houve auditoria de código e uma análise de segurança independente e, portanto, devemos aceitar a palavra da Apple. Ninguém pode fazer a própria lição de casa, incluindo a Apple.

Não houve auditoria de código e uma análise de segurança independente e, portanto, devemos aceitar a palavra da Element. Ninguém pode marcar seu próprio dever de casa.

A Matrix teve pelo menos uma violação de segurança considerável, indicando que a segurança de sua infraestrutura está falhando.

A Microsoft foi apontada como parceira da NSA nos vazamentos de Snowden.

O modelo de negócios da Microsoft baseia-se na coleta de informações do usuário e, portanto, há pouco incentivo para a Microsoft proteger de fato as informações dos usuários.

O histórico geral da Microsoft em privacidade digital é ruim, considerando que seu modelo de negócios depende da coleta de informações do usuário (por exemplo, Bing).

A criptografia não é ativada por padrão.

Os metadados provavelmente não estão criptografados e, portanto, carimbos de data / hora / localização / remetente / destinatário / etc. não é criptografado. Os metadados fornecem às agências de inteligência muitos dados para deduzir o que as pessoas estão fazendo por meio de sua localização, para quem estão enviando mensagens, quando estão enviando mensagens, etc.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Há muito pouca documentação e, portanto, ninguém sabe os detalhes de implementação da criptografia, a segurança da infraestrutura ou mesmo a segurança do próprio aplicativo.

Não houve nenhuma auditoria de código e uma análise de segurança independente e, portanto, devemos aceitar a palavra da Microsoft. Ninguém pode fazer sua própria lição de casa, incluindo a Microsoft.

A criptografia personalizada não é uma boa ideia, e a implementação da criptografia do Telegram foi criticada por criptógrafos.

A criptografia não é habilitada por padrão.

Os dados do usuário (números de telefone, informações de contato) não são protegidos e, portanto, o Telegram tem acesso a números de celular e nomes de contato e números de celular.

A jurisdição legal do Telegram não é clara. Isso está fora da minha área de especialização.

Apesar do que muitos artigos dizem, o Telegram não deve ser considerado seguro. Fiquei infeliz por ter que instalar o aplicativo – e dar meu número de celular ao Telegram – para analisá-lo.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

O Viber foi fundado por Talmon Marcoiii, antigo Chefe de Informação (CIO) do Comando Central da Força de Defesa de Israel e o financiamento não é claro. Qualquer pessoa com ligações tão explícitas com o governo/agências de inteligência não pode ser confiável para criar uma aplicação segura de mensagens.

Os dados do usuário (números de telefone, informações de contato) não são protegidos e, portanto, o Viber tem acesso a números de celular, nomes de contato e números de celular.

Não houve nenhuma auditoria de código e uma análise de segurança independente e, portanto, devemos aceitar a palavra da Viber. Ninguém pode fazer seu próprio dever de casa.

O Facebook foi apontado como parceiro da NSA nos vazamentos de Snowden.

O modelo de negócios do Facebook baseia-se na coleta de informações do usuário e, portanto, há pouco incentivo para que o Facebook realmente proteja as informações dos usuários.

O histórico geral do Facebook em privacidade digital é ruim, considerando que seu modelo de negócios depende da coleta de informações do usuário.

Os metadados não são criptografados e, portanto, carimbos de data / hora / localização / remetente / destinatário / etc. não é criptografado. Os metadados fornecem às agências de inteligência muitos dados para deduzir o que as pessoas estão fazendo por meio de sua localização, para quem estão enviando mensagens, quando estão enviando mensagens, etc.

Os dados do usuário (números de telefone, informações de contato) não são protegidos e, portanto, o Facebook tem acesso a números de celular e nomes de contato e números de celular.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Não houve auditoria de código e uma análise de segurança independente e, portanto, devemos aceitar a palavra do Facebook. Ninguém pode fazer seu próprio dever de casa, incluindo o Facebook.

As mensagens podem ser lidas pelo Facebook se marcadas como “abusivas”.

O aplicativo e os servidores de back-end não são de código aberto e, portanto, ninguém sabe a qualidade do código, se a criptografia foi implementada corretamente e se existem vulnerabilidades graves.

Auditorias independentes recentes não são publicadas e, portanto, não sabemos a qualidade do código, se a criptografia está implementada corretamente e se existem vulnerabilidades graves.

Propriedade da Amazon.

Financiado pela CIA antes de ser comprado pela Amazon. Disse o suficiente.

Legenda

 = Bastante preocupação.
 = Preocupante.
 = Nada preocupante.
 = Não consegui encontrar nenhuma informação sobre isso.
N / A = Não aplicável.

Legenda

 = Bastante preocupação.
 = Preocupante.
 = Nada preocupante.
 = Não consegui encontrar nenhuma informação sobre isso.
N / A = Não aplicável.

Legenda

 = Bastante preocupação.
 = Preocupante.
 = Nada preocupante.
 = Não consegui encontrar nenhuma informação sobre isso.
N / A = Não aplicável.

Legenda

 = Bastante preocupação.
 = Preocupante.
 = Nada preocupante.
 = Não consegui encontrar nenhuma informação sobre isso.
N / A = Não aplicável.

Indicadores usados para a avaliação

Isso é importante porque muitos países têm leis que exigem que os dados criptografados possam ser descriptografados pelo governo. Muitos outros países trabalham com amplas redes de vigilância ou têm relações desconfortavelmente próximas com empresas quando se trata de obter acesso aos dados dos clientes.

 = a empresa está sob a jurisdição de um parceiro reconhecido da Five Eyes. Ou a empresa está sob a jurisdição de um país conhecido pela vigilância [de massa].

 = a empresa está sob uma jurisdição que não é reconhecida por vigilância [de massa] ou que força as empresas a entregarem ou descriptografarem dados. Ou o país é conhecido por cooperar com os condados do Five Eyes.

 = a empresa está sob uma jurisdição que não é reconhecida por vigilância [de massa] ou que força as empresas a entregarem ou descriptografarem dados. Nenhum vínculo conhecido com Five Eyes etc.

Veja acima. Para operar um serviço verdadeiramente global, as empresas podem ter infraestrutura em diferentes regiões do mundo para, por exemplo, fornecer menor latência de rede.

 = a infraestrutura está sob a jurisdição de um parceiro reconhecido da Five Eyes. Ou a empresa está sob a jurisdição de um país reconhecido pela vigilância.

 = a infraestrutura está sob uma jurisdição que não é reconhecida por vigilância [de massa] ou que força as empresas a entregarem ou descriptografarem dados. Ou o país é reconhecido por cooperar com as cidades do Five Eyes.

 = a infraestrutura está sob uma jurisdição que não é reconhecida por vigilância [de massa] ou que força as empresas a entregarem ou descriptografarem dados. Nenhum vínculo conhecido com Five Eyes etc.

Isso é importante porque as empresas podem ser forçadas por lei a fornecerem os dados dos clientes às agências de inteligência. Outros métodos conhecidos pelos quais essas agências podem obter dados dos clientes incluem coerção, piratia (hacking), colocar funcionários infiltrados ou simplesmente pedir gentilmente. Usei o termo “agências de inteligência” para me referir a qualquer agência governamental.

Nota: Eu considerei “dados dos clientes” aqui como conteúdo / mensagens dos clientes (dados, não metadados). O Wickr, por exemplo, coopera com as agências de aplicação da lei – como todas as empresas devem fazer – mas eles só podem entregar metadados porque o conteúdo é criptografado (e eles não têm as chaves).

 = A empresa está envolvida no fornecimento de dados de clientes a agências de inteligência. Isso é comprovado por evidências.

 = A empresa foi envolvida no fornecimento de dados de clientes a agências de inteligência. Não há evidências diretas, mas a fonte é confiável.

 = A empresa não está envolvida no fornecimento dos dados de clientes a agências de inteligência.

Isso é importante porque algumas jurisdições exigem que determinados sistemas tenham acesso de vigilância para os governos.

Nota: Apesar de, muitas empresas americanas terem sido expostas nos vazamentos de Snowden – o programa PRISM especificamente – considerei esse requisito apenas para o aplicativo. Se eles fizerem parte do PRISM, isso é considerado em “Fornecimento implícito de dados de clientes a agências de inteligência”.

No entanto, ao dizer isso, presumo que Facebook, Google, Apple e Microsoft concederam backdoors governamentais dos seus aplicativos para agências de inteligência. Mas além da Microsoft, não há nenhuma prova que eu possa encontrar.

 = confirmado. O aplicativo foi projetado especificamente para permitir a vigilância.

 = É amplamente aceito que o aplicativo foi projetado para permitir a vigilância com base em evidências de uma fonte confiável.

 = Não … que saibamos …

Muitas empresas publicam periodicamente um relatório de transparência. Isso detalha quais tipos de solicitações foram recebidas de governos, quantas solicitações foram feitas, quantos clientes foram afetados, etc.

 = a empresa não fornece um relatório de transparência periódico. (Ou não é particularmente útil.)

 = a empresa fornece, periodicamente, um relatório significativo de transparência.

Isso é importante porque as empresas costumam falar muito quando se trata de privacidade dos clientes. Com que frequência você já ouviu isso após uma violação de dados? “Nós nos preocupamos profundamente com a segurança / privacidade de nossos clientes e temos a liderança em segurança do setor local”.

 = a empresa não projeta seus sistemas para coletar informações mínimas do cliente ou não possui fortes controles de criptografia / segurança; ou não tem uma política de privacidade e termos e condições simples e legíveis. Ou a empresa é conhecida por cooperar com solicitações legais (ou informais) de informações de clientes. Ou o modelo de negócios da empresa depende dos dados dos usuários.

 = não tenho certeza se existe um meio-termo. Escreverei isso se algum dia achar que é apropriado para uma empresa de aplicativos.

 = a empresa projeta seus sistemas para coletar informações mínimas do cliente; tem fortes controles de criptografia / segurança; um vocabulário simples com uma política de privacidade, termos e condições compreensíveis. A empresa não pode entregar os dados do usuário aos governos, mesmo que solicitada. Da mesma forma, a empresa é conhecida por lutar contra desafios legais para descriptografar ou entregar dados de clientes. O modelo de negócios da empresa não recai sobre os dados dos usuários.

Isso é importante porque “o dinheiro fala”, como diz o ditado. Se, provavelmente, a empresa ou pessoa que estão por trás do dinheiro não tiver motivos para não proteger a privacidade dos clientes, é importante saber. Isso pode ser um indicativo de que a empresa não está fazendo o que diz (Google, Whatsapp, por exemplo) ou que mudou de ideia depois de atrair clientes suficientes com os quais eles podem ganhar dinheiro.

 = Financiado por uma empresa / pessoa que está bem conectada ou conhecida por coletar dados de clientes. Ou eles são conhecidos por coletar dados de clientes ou cooperar com as autoridades quando se trata de solicitar dados de clientes.

 = não sei se existe um meio-termo. Se houver, escreverei sobre isso quando acontecer.

 = Financiado por empresas / pessoas que / ou qualquer uma que tem interesse em ou nenhuma razão óbvia contra criptografar / proteger os dados dos clientes. Elas não devem ser conhecidas por coletar dados de clientes ou cooperar com as autoridades quando se trata de solicitar dados de clientes.

Isso é importante porque muitas empresas usam os dados dos clientes para publicidade, para melhorar seus serviços ou simplesmente para vender para outras empresas. Você realmente acredita que tais empresas desejam proteger suas mensagens se normalmente ganham dinheiro com seus dados pessoais?

 = Sim, eles coletam mais do que o necessário para o funcionamento do aplicativo de mensagens seguras. Na verdade, eles coletam outros dados de clientes para outras partes de seus negócios.

 = Eles coletam apenas a quantidade mínima (número do celular ou endereço de e-mail, por exemplo) de dados do cliente para fornecer um aplicativo de mensagens seguro.

 = Eles não coletam dados do usuário. (Presumo aqui que você pode comprar o aplicativo, se necessário, de forma anônima.)

Isso é importante porque muitas empresas usam os dados dos clientes para publicidade, para melhorar seus serviços ou simplesmente para vender para outras empresas. Você realmente acredita que tais empresas desejam proteger suas mensagens se normalmente ganham dinheiro com seus dados pessoais?

 = Sim, eles coletam mais do que o necessário para o funcionamento do aplicativo de mensagens seguras. Na verdade, eles coletam dados de clientes desprotegidos ou as próprias mensagens enviadas.

 = Eles coletam apenas a quantidade mínima (número do celular ou endereço de e-mail, por exemplo) de dados do cliente para fornecer um aplicativo de mensagens seguro.

= Eles não coletam dados do usuário.

Este requisito é baseado nas permissões de acordo com a app store da Apple.

Autoexplicativo.

 = Não.

 = Sim.

Derivação de chave específica, criptografia e algoritmos de hash são considerados seguros pelos criptógrafos. É importante que algoritmos sem fraquezas conhecidas sejam usados. Esses são os blocos de construção sobre os quais a criptografia segura é construída.

Observe que não considerei se a implementação desses blocos de construção é sólida.

 = App usa primitivas criptográficas que foram quebradas. Existem ataques práticos contra eles.

 = O aplicativo usa primitivas criptográficas consideradas fracas. No entanto, não há ataques práticos conhecidos contra eles ainda.

 = App usa primitivas criptográficas bem conhecidas e seguras.

Isso é importante porque um aplicativo totalmente de código aberto pode ser auditado pela indústria. O código-fonte aberto leva a uma transparência quase total: podemos dizer se as afirmações de uma empresa atendem à realidade. Da mesma forma, podemos encontrar quaisquer vulnerabilidades no software, pontos fracos na implementação ou deficiências de design. O código do servidor também deve ser open source; isso ocorre porque todos os aplicativos usam um serviço de diretório central para combinar os usuários. Vulnerabilidades e backdoors podem existir nesses serviços de diretório.

 = Não.

 = Sim.

Tem certeza de que o aplicativo que você baixou do Google e / ou Apple está usando o exato código-fonte que os desenvolvedores publicaram? Compilações reproduzíveis são um método pelo qual os aplicativos instalados podem ser comparados ao código-fonte publicado, garantindo assim que nenhuma alteração maliciosa tenha sido feita nos aplicativos.

Isso é importante porque muitas pessoas têm bons motivos para permanecer anônimas. Ter que fornecer um ID exclusivo de algum tipo – um número de celular, endereço de e-mail, etc. – significa dar algo que poderia ser usado para rastreá-las.

 = Não, os usuários devem fornecer algum tipo de detalhes de contato, como endereço de e-mail ou número de telefone celular. (Estou ciente de que você pode obter um endereço de e-mail anônimo ou até mesmo números de celular. No entanto, não estou considerando soluções alternativas. Até mesmo estes podem ser rastreados.)

 = você deve fornecer um endereço de e-mail ou número de celular. No entanto, é provável que tenham hash e, portanto, não podem ser lidos pela empresa.

 = Sim, você não precisa fornecer nenhum detalhe para usar o aplicativo. (Aceitei aqui que você deve ser exclusivamente identificável pelo servidor de diretório e, portanto, que algum tipo de ID aleatório deve ser atribuído a cada usuário para que o aplicativo funcione.)

(Hashes são funções irreversíveis de criptografia unilateral que podem dar a cada número de telefone celular ou endereço de e-mail um valor exclusivo que é essencialmente um jargão. Quem usa o aplicativo tem hashes de todos os seus contatos calculados em seu dispositivo e depois carregados no servidor de diretório. Se dois hashes corresponderem, o servidor de diretório saberá que seu contato tem o aplicativo instalado sem saber seu endereço de e-mail ou número do celular.)

Alguns aplicativos exigem que você se registre com um número de celular ou endereço de e-mail. Esses dados são armazenados nos servidores da empresa (com criptografia unilateral (hash), espero). Ele corresponde a números de telefone e / ou endereços de e-mail em sua lista de contatos (supondo que você permita que o aplicativo acesse a lista) para que você saiba quem mais usa o mesmo aplicativo.

No entanto, como você sabe que foi “combinado” com a pessoa certa? Que a empresa não combinou você com outra pessoa (por exemplo, um agente de inteligência)? Isso é especialmente importante na primeira vez que você é “correspondido”.

Alguns aplicativos permitem que você adicione manualmente um contato sem a necessidade de confiar que um terceiro corresponda corretamente a você. Isso acontece por duas pessoas escaneando o código QR uma da outra. Threema faz isso muito bem.

A vantagem disso é que você não precisa fornecer seu número de telefone ou endereço de e-mail para a empresa. Você pode adicionar pessoas anonimamente, aumentando assim sua privacidade.

 = Não.

 = Sim.

Para garantir que você está falando com quem acredita ser, é importante que os aplicativos suportem a verificação das impressões digitais dos usuários. Uma impressão digital é uma representação da sua identidade vinculada às suas chaves de criptografia. Se você não puder verificar manualmente as impressões digitais no aplicativo – digitalizando um código QR, publicando sua impressão digital, ou enviando sua impressão digital por outro meio, ou simplesmente lendo pelo telefone – então suas mensagens podem ser interceptadas pelo que é chamado de Ataque “homem no meio (MITM)”.

Alice está enviando mensagens para Bob. Bem, ela pensa que é uma mensagem para Bob; mas, na verdade, ela está enviando mensagens para Eva, que as lê e, em seguida, as passa para Bob. Nem Alice nem Bob percebem que isso está acontecendo.

Verificar as impressões digitais garante que isso não ocorra.

 = Não.

 = Sim.

Ao usar a maioria dos aplicativos de mensagens, você deve / pode fornecer um número de telefone, nome de usuário ou endereço de e-mail. Se um amigo seu tiver esse número de telefone ou endereço de e-mail em sua lista de contatos, o aplicativo pode adicionar automaticamente seu amigo aos seus contatos no próprio aplicativo. (Ou talvez você deve adicionar o nome de usuário manualmente.) É assim que esses aplicativos de mensagens também sabem quais dos seus amigos estão usando.

Ao adicionar um contato pela primeira vez, é possível que um serviço de diretório “combine” você com a pessoa incorreta, seja de forma maliciosa ou por engano. Isso pode significar que, embora acredite que está falando com um amigo seu, na verdade está falando com uma agência de inteligência. A verificação manual das impressões digitais uns dos outros não levantaria nenhuma preocupação, já que a agência de inteligência estaria usando uma impressão digital válida.

Essa é uma maneira pela qual a Threema acertou em cheio a identificação mútua sem um serviço de diretório. Cada pessoa pode escanear um código QR no aplicativo – estando fisicamente no mesmo lugar ou por cada pessoa publicando seu código QR em algum lugar na Internet. Cada pessoa pode adicionar manualmente a outra sem a necessidade do serviço de diretório.

Da mesma forma, um serviço de diretório significa que um dispositivo de terceiros pode ser confiável. A mesma funcionalidade que permite que o iMessage envie todas as suas mensagens para todos os seus dispositivos autorizados pode ser usada para enviar todas as suas mensagens para um dispositivo não confiável sem você saber.

Nota: esta é sem dúvida a maior fraqueza em todos os aplicativos de mensagens. Mesmo que tenha adicionado um contato manualmente, você ainda deve confiar que o serviço de diretório não está fazendo nada mal-intencionado. Isso pode incluir adicionar um dispositivo não autorizado à sua conta, dar a outro usuário acesso à sua conta (da mesma forma que você pode usar vários dispositivos) ou combiná-lo temporariamente com outro usuário. É por isso que ser alertado quando a impressão digital de um usuário muda é tão importante. Da mesma forma, é importante que o lado do servidor do sistema também seja de código aberto.

 = Sim, os serviços de diretório podem ser usados para MITM uma conversa.

Não há outras opções; todos os aplicativos devem confiar em um serviço de diretório centralizado.

A impressão digital de um contato muda quando ele reinstala o aplicativo / telefone sem ter feito backup (se possível) de sua ID e chave de criptografia. Se o ID e a chave de criptografia não tiverem backup, ou se o telefone inteiro não tiver sido reinstalado, o aplicativo irá regenerar um novo ID e chave de criptografia, que é representado por uma impressão digital. Portanto, uma nova impressão digital será gerada.

No entanto, a nova impressão digital de um contato também pode ser um sinal de um homem no meio do ataque. Portanto, você deve verificar novamente seus contatos se sua impressão digital mudar.

 = Não.

 = Às vezes, em circunstâncias específicas. (Wire faz isso se você já verificou a impressão digital de um contato.)

 = Sim.

Se os dados tiverem hash, eles ficarão ilegíveis para as empresas. Se, por exemplo, um número de telefone tiver um hash, ele receberá uma representação única e irreversível que é essencialmente um jargão ou algo incompreensível. Cada número de telefone sempre terá uma representação única (hash).

Este método pode ser usado para proteger listas de contatos. Em vez de enviar uma lista de seus contatos, é mais seguro enviar um hash de cada contato. Se um de seus contatos tiver o mesmo aplicativo, o número de telefone com hash em seus contatos corresponderá ao número de telefone com hash nos servidores da empresa.

Na verdade, não há necessidade de as empresas terem informações pessoais para um aplicativo de mensagens seguro. (Threema faz isso bem.) No entanto, aplicativos como o Signal usam números de telefone como uma ID exclusiva (e enviam um SMS para ativar o aplicativo).

 = Nenhuma informação pessoal identificável é hash.

 = uma quantidade limitada de informações de identificação pessoal (números de celular) não são hash. Todas as outras informações, incluindo contatos, são hash.

 = todas as informações de identificação pessoal são hash.

Para a criptografia de ponta a ponta, a chave de criptografia deve ser gerada e mantida no próprio dispositivo. Se uma empresa tiver acesso à chave de criptografia, ela não é segura.

 = Não.

 = Sim.

Isso é bastante autoexplicativo. Para aplicativos que podem enviar mensagens criptografadas e não criptografadas (Telegram, Google Allo, etc.), eu disse “Sim”.

 = Sim.

 = Provavelmente. Há uma quantidade significativa de evidências que indicam que a empresa pode realmente ler as mensagens.

 = Não.

Cada mensagem enviada deve ser protegida por uma chave de criptografia exclusiva (geralmente chamada de chave de sessão). Dessa forma, se a chave de criptografia no dispositivo estiver comprometida, não necessariamente compromete as mensagens anteriores (que teriam sido criptografadas com uma chave de criptografia exclusiva).

 = Não.

 = Sim.

Os metadados podem incluir a data e hora em que você enviou uma mensagem, sua localização e para quem você enviou a mensagem. (Basicamente, qualquer informação sobre as informações que você está enviando.) Isso é importante porque esses dados podem revelar muito sobre você. Também é alvo de agências reguladoras.

 = Não.

 = a maioria dos metadados está criptografada. No entanto, algumas informações (em grande parte sem importância) são mantidas pela empresa.

 = Sim.

É importante que toda a comunicação entre o aplicativo e seus servidores seja criptografada pela Internet. Esta é a mesma tecnologia que os bancos, Google, etc. usam.

 = Não.

 = Sim.

Isso garante que as conexões TLS ocorram apenas entre o aplicativo e os servidores da empresa. Especificamente, o aplicativo confia apenas nos certificados TLS que vêm da empresa (as chaves públicas desses certificados específicos são “fixados” no aplicativo).

 = Não.

 = Sim.

A criptografia de dispositivos (e os dados na memória quando os dispositivos estão bloqueados) é importante para que os dados neles contidos não possam ser lidos sem a senha correta. No iOS, isso pode ser feito por meio da API de proteção de dados da Apple. No Android, parece que a criptografia baseada em arquivo – a parte que criptografa os dados na memória quando os dispositivos são bloqueados – só está disponível no “Nougat”.

Nota: Procurei a confirmação no iOS de que a classe correta de proteção de dados está sendo usada para cada aplicativo. O padrão para dados de terceiros é criptografá-los; no entanto, isso pode ser substituído.

 = Não.

 = Sim.

Alguns dos aplicativos fornecem uma forma secundária de autenticação – uma senha / código ou uma impressão digital. Isso fornece um nível extra de controle de acesso aos dados mantidos no aplicativo. Observe que eu só considerei a funcionalidade quando você abre o aplicativo, não quando você acessa bate-papos / configurações específicas dentro do aplicativo.

 = Não.

 = Sim.

Alguns aplicativos oferecem criptografia de ponta a ponta que não criptografa as mensagens quando o backup é feito na nuvem. Por exemplo, as mensagens do Whatsapp são armazenadas em texto não criptografado (legível pelo Facebook) quando o iCloud é usado para fazer backup de um dispositivo. A Apple criptografa os dados de backup no iCloud, mas tem uma cópia da chave de criptografia (e, portanto, pode ler seus backups, incluindo iMessages). A aplicação da lei é conhecida por perseguir os dados de backup quando eles estão armazenados em uma empresa.

Observação: se uma empresa (você, Apple) tiver acesso à chave de criptografia, classifiquei isso como “Não”.

 = Não.

 = Sim.

Algumas empresas (Whatsapp, por exemplo) retêm informações de data e hora das mensagens.

 = Não.

 = algumas informações de carimbo de data / hora / endereço IP são armazenadas, embora não sejam armazenadas para cada mensagem enviada.

 = Sim.

É importante que cada aplicativo tenha sido testado de forma independente. Qualquer um pode criar um sistema que eles próprios não possam quebrar. Isso também pode nos ajudar a confiar em aplicativos de código fechado, como Threema e Wickr.

 = Não.

 = Sim.

É importante que os clientes, APIs, servidores, servidores de diretório e algoritmos de mensagens sejam todos projetados corretamente. A publicação dos documentos de design permite que os especialistas verifiquem se todos eles foram projetados corretamente.

Observação: mesmo entre os aplicativos que classifiquei como “De alguma forma”, há uma grande diferença no nível de documentação. Posso tentar definir isso melhor no futuro.

 = Não. Pouca documentação está disponível.

 = De alguma forma. Alguma documentação é fornecida.

 = Sim, a documentação – para clientes, APIs, servidores, servidores de diretório e algoritmos de mensagens – é fornecida e está tudo em um só lugar.

Isso significa que as mensagens serão excluídas automaticamente após um certo período de tempo. Pessoalmente, acho que isso adiciona pouco à privacidade, uma vez que é trivial fazer capturas de tela de mensagens.

No entanto, vejo alguns casos de uso: 1) enviar a um contato uma informação que você não deseja que fique disponível para sempre (uma chave / senha pré-compartilhada, por exemplo) e 2) garantir que certas partes do conversas sejam removidas automaticamente.

 = Não.

 = Sim.

Neste momento esta rede social é restrita