Você deve ter ouvido falar do Signal, o aplicativo de bate-papo criptografado que o governo dos EUA usou para discutir planos de guerra no ano passado. (Caramba.) Mas embora o aplicativo não seja uma alternativa a um SCIF dedicado, é uma boa opção para o resto de nós nos comunicarmos com mais segurança. O Signal usa criptografia ponta a ponta (E2EE), o que, muito simplesmente, significa que as mensagens são “embaralhadas” em trânsito e só podem ser “desembaralhadas” pelo remetente e pelo destinatário ou destinatários. Se você estiver em um bate-papo do Signal, poderá ler as mensagens recebidas como faria com qualquer outro aplicativo de bate-papo – se você for um invasor e interceptar essa mensagem, tudo o que encontrará é uma confusão de código.
O E2EE torna difícil para qualquer pessoa sem seu dispositivo desbloqueado (ou seu aplicativo Signal desbloqueado) ler sua mensagem do Signal – difícil, não impossível. Essa é parte da razão pela qual o aplicativo de bate-papo não é uma opção para funcionários do governo (embora nenhum aplicativo de bate-papo de terceiros possa ser). Mas também é um bom lembrete de que não importa quem você seja, seus bate-papos seguros não são imunes a forças externas. Se alguém quiser invadir seus bate-papos, poderá encontrar uma maneira de fazê-lo.
O FBI recuperou recentemente mensagens excluídas do Signal de um iPhone
Caso em questão: conforme relatado pela 404 Media, o FBI extraiu recentemente mensagens recebidas do Signal do iPhone de um réu. O usuário até excluiu o aplicativo de seu dispositivo, o que apenas acrescentou outro obstáculo aos objetivos dos investigadores. Você pensaria que, ao excluir o próprio aplicativo, suas mensagens criptografadas estariam protegidas. Acontece, porém, que o FBI não precisou acessar o aplicativo Signal. Embora não tenham conseguido recuperar as mensagens enviadas do réu, eles conseguiram extrair as mensagens recebidas do banco de dados de notificações push do iPhone. (Tenho coberto iPhones há quase uma década e não sabia que o iOS tinha um banco de dados de notificações push – embora eu suponha que faça sentido, já que existem alertas na Central de Notificações até que você os abra ou descarte manualmente.)
Esta revelação vem de um caso envolvendo um grupo supostamente vandalizando propriedades e soltando fogos de artifício no Centro de Detenção ICE Prairieland. Um policial envolvido na briga foi baleado no pescoço. De acordo com um apoiador dos réus neste caso que fez anotações durante o julgamento, o tribunal aprendeu que qualquer aplicativo que tenha permissão para mostrar pré-visualizações e alertas na tela de bloqueio salvará essas pré-visualizações na memória interna do iPhone do usuário. Como tal, o FBI conseguiu obter mensagens que o réu recebeu, mesmo que essas mensagens estivessem configuradas para desaparecer do aplicativo e o aplicativo tivesse sido apagado do dispositivo.
Novamente, esta não é uma falha de segurança exclusiva do Signal: qualquer aplicativo que exibe um alerta na tela de bloqueio possui essa vulnerabilidade. O FBI provavelmente também tinha muitas outras notificações para examinar, de qualquer aplicativo que o réu estivesse executando no iPhone. Pense nos alertas que você pode ter na Central de Notificações agora: textos, lembretes, boletins de notícias, compras, DMs, etc. Tudo isso pode servir de alimento para qualquer pessoa com tecnologia de vigilância fazer root no seu iPhone – bloqueado ou não.
O que você acha até agora?
Como impedir que isso aconteça com você
Se você usa o Signal, você realmente tem uma vantagem aqui, agora que conhece essa vulnerabilidade. O Signal possui uma configuração que impede que o conteúdo das mensagens apareça em suas notificações. Dessa forma, mesmo que alguém acesse seus alertas, tudo o que verá é que você recebeu uma mensagem do Signal – não quem a enviou ou o que ela contém.
Para ativá-lo, abra o Signal, toque no seu perfil no canto superior esquerdo e clique em “Configurações”. Sob Conteúdo de notificaçãoescolha “Sem nome ou conteúdo” para bloquear todos os dados do alerta. Você pode se comprometer aqui e escolher “Somente nome” se quiser saber de quem é a mensagem antes de abri-la – lembre-se de que um intruso também pode ver que você recebeu uma mensagem dessa pessoa se copiar as notificações do seu iPhone.
