Newsletter Boletim informativo Events Eventos Podcasts Vídeos Africanews
Loader
Encontra-nos
Publicidade

Signal foi uma escolha “arriscada” para a partilha de planos confidenciais. Qual é a aplicação de mensagens mais segura?

Aplicação Signal num smartphone, no ecrã de um dispositivo móvel
Aplicação Signal num smartphone, no ecrã de um dispositivo móvel Direitos de autor  AP Photo
Direitos de autor AP Photo
De Leticia Batista Cabanas
Publicado a Últimas notícias
Partilhe esta notícia Comentários
Partilhe esta notícia Close Button

À luz da controvérsia em torno da partilha de planos de ataque dos EUA no Signal, a segurança das aplicações de mensagens está agora no centro do debate.

PUBLICIDADE

Apenas três dias depois de o secretário da Defesa dos EUA, Pete Hegseth, se ter gabado na televisão nacional de que os Estados Unidos "já não pareciam idiotas", veio a lume que ele fazia parte de um grupo de altos funcionários que, inadvertidamente, enviou por SMS a um jornalista os planos para um ataque no Iémen.

Hegseth, juntamente com o vice-presidente JD Vance, o secretário de Estado Marco Rubio, o conselheiro de Segurança Nacional Michael Waltz, entre outros, tinham estado a utilizar a plataforma de mensagens Signal para discutir informação altamente sensível e confidencial.

Os legisladores democratas condenaram rapidamente o caso como uma violação "flagrante" de segurança e o presidente Donald Trump disse que não sabia "nada sobre isso", enquanto a sua equipa afirmava que a culpa era de uma "falha" que levou à inclusão do jornalista Jeffrey Goldberg num grupo chamado "Houthi PC small group".

Embora encriptada e tecnicamente segura, a plataforma está "cheia de riscos" relacionados com erros humanos e spyware, e não era a escolha apropriada para uma conversa deste tipo, defende Callum Voge, diretor de Assuntos Governamentais e Advocacia da Internet Society.

“Os governos têm protocolos específicos para proteger a informação confidencial, e esses protocolos normalmente estabelecem que a informação confidencial só pode ser partilhada em determinadas condições. Por isso, quando as pessoas dizem que o Signal não é apropriado para partilhar segredos de Estado, não se trata apenas do Signal - trata-se de qualquer aplicação de mensagens para consumidores. Quer se trate do WhatsApp, do Signal ou do Telegram, todos eles apresentam riscos”, disse Voge à Euronews Next.

Um dos principais perigos prende-se com o facto de o Signal estar disponível para o público em geral e ser utilizado por milhões de pessoas em todo o mundo.

“Qualquer pessoa no mundo pode criar uma conta Signal. Assim, por exemplo, uma pessoa sem autorização de segurança pode ser acidentalmente adicionada a uma conversa de grupo. Esta é uma forma de os segredos serem divulgados - por acidente, erro humano ou de propósito”, acrescentou Voge.

“Além disso, o Signal é utilizado em dispositivos pessoais. Tal introduz o risco de spyware - software que pode registar o que está a acontecer no seu dispositivo em tempo real e enviá-lo a terceiros. Por isso, mesmo que o Signal seja a aplicação mais segura do mundo, se o seu telemóvel tiver spyware, continua a ser uma fuga de informação.”

Alertas de que o Signal era alvo de piratas informáticos

De facto, o Pentágono emitiu um memorando para todo o departamento, poucos dias depois da fuga de informação, sobre as conversas de grupo no Signal, avisando que grupos de piratas informáticos profissionais russos estavam a atacar ativamente a aplicação.

De acordo com o memorando, os atacantes estavam a explorar a funcionalidade “dispositivos ligados” do Signal - uma função legítima que permite aos utilizadores aceder à sua conta através de vários dispositivos - para espiar conversas encriptadas.

Se um dispositivo for comprometido - seja através de malware, acesso não autorizado ou spyware sofisticado como o Pegasus - a encriptação torna-se irrelevante.
Gustavo Alito
Especialista em cibersegurança, Equans BeLux

A eficácia do Signal depende da segurança do dispositivo utilizado. É como instalar o sistema de alarme mais seguro numa casa sem portas”, observou Gustavo Alito, especialista em cibersegurança da Equans BeLux.

“Se um dispositivo for comprometido - seja através de malware, acesso não autorizado ou spyware sofisticado como o Pegasus - a encriptação torna-se irrelevante. Os atacantes podem monitorizar e captar toda a atividade do dispositivo em tempo real, incluindo as mensagens que estão a ser escritas”, disse à Euronews Next.

“Um desenvolvimento surpreendente neste caso é o facto de os relatórios indicarem que o Signal estava pré-instalado nos dispositivos do governo dos EUA. Embora isto sugira um impulso institucional para a comunicação encriptada, também levanta preocupações”, acrescentou Alito.

“O facto de o Signal ter sido amplamente disponibilizado pode ter levado os funcionários a assumir que estava aprovado para discussões confidenciais, apesar dos avisos da NSA [Agência de Segurança Nacional] e do Departamento de Defesa contra a sua utilização para assuntos sensíveis.”

Signal, WeChat, WhatsApp, Telegram: qual é a plataforma mais segura?

No extremo inferior do espetro, onde as mensagens são mais vulneráveis, estão as plataformas que não têm encriptação de ponta a ponta ou não a ativam por defeito.

De acordo com Voge, “isso significa que as mensagens são encriptadas de extremo a extremo. Assim, por exemplo, um ponto final é o seu telemóvel e o outro é o meu - e à medida que a conversa ou o texto vai e volta entre nós, nenhum terceiro o pode desencriptar, nem mesmo o fornecedor”.

Aplicações como o WeChat, por exemplo, não oferecem encriptação de ponta a ponta, o que significa que as mensagens podem ser acedidas pelo fornecedor do serviço ou pelas autoridades governamentais - uma grande preocupação em países como a China.

Da mesma forma, o Telegram não encripta, por defeito, as conversas de grupo ou mesmo as conversas individuais; os utilizadores têm de ativar manualmente as “conversas secretas” para obterem proteção de ponta a ponta. Por este motivo, as mensagens nestas plataformas são mais susceptíveis de serem intercetadas.

No segmento de alta segurança estão aplicações como o Signal, o WhatsApp e, em certa medida, o iMessage, que oferecem encriptação de ponta a ponta por defeito.

Entre elas, o Signal destaca-se pelo seu protocolo de código aberto, pela governação sem fins lucrativos, bem como pela retenção mínima de metadados e pela encriptação predefinida de mensagens, chamadas e conversas de grupo.

O WhatsApp, apesar de também ser encriptado utilizando o protocolo do Signal, é propriedade da Meta e retém mais metadados, o que alguns consideram uma potencial vulnerabilidade. O iMessage é considerado tecnicamente seguro, mas é um sistema de código fechado, exclusivo da Apple, o que limita a transparência e a auditoria.

Assim, o Signal é amplamente considerado pelos especialistas como o padrão de excelência para mensagens encriptadas, mas, como acabámos de ver, não está imune a riscos decorrentes de erros do utilizador, quando um dispositivo é comprometido ou à utilização indevida em contextos que exigem protocolos de comunicação confidenciais.

“Como qualquer empresa, o Signal audita regularmente outras partes da sua aplicação - nomeadamente a forma como os utilizadores verificam os seus números de telefone ou adicionam novos dispositivos. Por vezes, surgem problemas e eles respondem com correções de segurança, que publicam no seu site com pormenores”, afirmou Voge.

“Talvez tenha ouvido falar de uma vulnerabilidade recente que envolveu a Rússia. Tratou-se de um ataque de phishing utilizado na Ucrânia: os atacantes enviaram códigos QR falsos para induzir as pessoas a aderir a grupos no Signal. Quando alguém digitalizava o código, ligava um novo dispositivo à sua conta - sequestrando-a efetivamente”, continuou.

“Não se tratava de uma falha no protocolo de encriptação, mas na forma como o Signal lidava com a conexão de dispositivos. O Signal respondeu com uma atualização - agora, se quisermos associar um novo dispositivo, é necessário o Face ID ou o Touch ID.”

Qual é a melhor maneira de enviar uma mensagem de forma segura?

Então, o que é que Hegseth, Vance, Waltz e o resto dos membros do "Houthi PC small group" deveriam ter feito?

O governo dos EUA tem, quase de certeza, os seus próprios sistemas para lidar com informação confidencial.

“Os funcionários do governo devem geralmente usar dispositivos e sistemas especiais que não estão disponíveis ao público. Podemos imaginar uma plataforma que só os funcionários do governo podem descarregar e que talvez até tenha níveis de classificação incorporados - como confidencial, secreto e ultrassecreto”, disse Voge.

De facto, o especialista imagina “um cenário governamental em que os funcionários vão para uma sala segura, deixam os seus dispositivos pessoais e utilizam um computador especial que não está ligado à Internet para aceder a informações sensíveis”.

“Uma vez que as pessoas viajam, é provável que existam redes ou aplicações governamentais apenas acessíveis aos funcionários que utilizam dispositivos fornecidos pelo governo. Estes sistemas não estariam disponíveis para o público e provavelmente têm formas integradas de lidar com os diferentes níveis de classificação”, acrescentou.

Ou, como refere Alito, “um sistema encriptado de ponta a ponta, aprovado pelo governo, concebido especificamente para comunicações classificadas. Plataformas seguras como o Protocolo de Interoperabilidade de Comunicações Seguras (SCIP) da NSA ou redes classificadas como a SIPRNet e a JWICS estão mais alinhadas com as necessidades de segurança e encriptação de uma organização governamental”.

O sistema deve também permitir a manutenção de registos das conversas, o que está relacionado com a legislação em matéria de manutenção de registos.

“Alguns governos exigem que os responsáveis políticos mantenham um registo das suas mensagens ou e-mails. Mas o Signal tem funcionalidades como o desaparecimento de mensagens. Por isso, se os funcionários públicos o utilizarem, esse registo de comunicação pode perder-se, o que pode ir contra as leis da transparência ou da responsabilidade”, disse Voge.

Ir para os atalhos de acessibilidade
Partilhe esta notícia Comentários

Notícias relacionadas

Mensagens fraudulentas: PGR alerta para falsas ofertas de emprego

Pentágono investiga se funcionários apagaram mensagens de Pete Hegseth no Signal sobre o Iémen

Conselheiro de Segurança Nacional de Trump assume "total responsabilidade" por fuga de informação no Signal