Empresa de segurança afirma ter quebrado criptografia de mensagens do Signal

A Cellebrite, uma empresa israelense que desenvolve ferramentas de vigilância para forças de segurança, disse ter sido capaz de quebrar a criptografia de mensagens de texto e chamadas de voz do Signal. Especialistas em segurança, que analisaram os detalhes da descoberta antes de eles serem retirados do ar pela própria desenvolvedora, afirmam que os métodos parecem reais, no que pode significar um belo golpe para o app que é considerado um dos mais seguros do mundo.

• Vulnerabilidade no iOS foi usada para espionar jornalistas
• Google, Microsoft, Cisco e outras techs se unem contra espionagem no WhatsApp
• Os 5 ataques de phishing mais explorados de 2020

O Signal é usado por jornalistas no contato com fontes sigilosas, na organização de protestos e demais formas de contatos que podem ser censuradas ou de interesse para governos e organizações da lei, o que inclui, também, o crime organizado. Foi justamente nisso que a Cellebrite se focou ao anunciar a descoberta, afirmando em uma postagem pública que a quebra na criptografia do aplicativo vai permitir a interceptação de comunicações realizadas por gangues, traficantes de drogas e manifestantes.

Na publicação, a empresa israelense exibia detalhes sobre a forma como o Signal criptografa seu banco de dados e detalhes sobre a estrutura do aplicativo no sistema operacional Android que permitiram o acesso à chave de criptografia que liberou a extração das informações. Além de mensagens de texto, áudio e chamadas, a descoberta da Cellebrite também parecia permitir o acesso a arquivos anexos e demais dados dos usuários, efetivamente quebrando a segurança que é um dos principais motivos para que o aplicativo seja utilizado por quem não quer ter suas comunicações interceptadas.

A empresa ainda afirma que o trabalho de quebra dessa proteção não foi fácil e exigiu meses de trabalho de diferentes especialistas. Agora, as ferramentas de liberação e interceptação de comunicações ficam à disposição das autoridades a quem a Cellebrite vende seus softwares de segurança e vigilância, com a ideia de que elas apenas sejam utilizadas em operações que ocorram dentro da legalidade, quando existem autorizações para quebra de sigilo. Na prática, porém, partidários da comunicação e ativistas políticos argumentam que não é bem assim.

Após a divulgação da novidade, a Cellebrite voltou atrás e removeu os detalhes sobre a quebra da criptografia do Signal de sua publicação original, afirmando apenas que os recursos seguem disponíveis aos clientes por meio de suas ferramentas de análise forense. A empresa também foi duramente criticada já que, com tais informações públicas, indivíduos maliciosos e hackers poderiam utilizar métodos semelhantes ou seguir por caminhos parecidos para quebrar a criptografia, em um ataque à privacidade daqueles que usam o app de comunicação de forma legítima.

A Cellebrite teria quebrado critérios de divulgação responsável de vulnerabilidades, cujos guias de melhores práticas pedem que brechas de segurança sejam divulgadas primeiro aos desenvolvedores de softwares para que sejam corrigidas. A divulgação, então, acontece apenas depois que as falhas estejam corrigidas, de forma que não possam mais ser exploradas, ou após um determinado prazo, caso não haja resposta dos responsáveis, de forma a fazer pressão por uma solução. Nada disso soa interessante no caso da companhia israelense, claro, já que uma atualização quebraria a descoberta que está sendo alardeada.

Em comunicado, a empresa afirmou que aplicativos como este dificultam o trabalho das forças policiais e que, por conta disso, trabalhou de forma focada para garantir a extração dos dados quando necessário. A Cellebrite não deu mais detalhes sobre a exploração e não disse se ela também funciona na versão iOS da aplicação, já que a publicação original falava apenas no sistema operacional Android.

Já o criador do Signal, Moxie Marlinspike, afirmou que as alegações da empresa israelense são risíveis e que o aplicativo continua seguro como sempre foi. Ele taxou o artigo publicado pela Cellebrite como “amador” e disse que a exploração divulgada pela companhia só funciona em um aparelho Android desbloqueado, o que significa que as autoridades poderiam simplesmente acessar o aplicativo para ter acesso direto às mensagens, sem a necessidade de usar nenhum tipo de ferramenta forense.

De acordo com Marlinspike, a privacidade continua sendo o coração de um sistema que segue sendo “quase impossível” de se invadir, com nem mesmo os próprios responsáveis pelo Signal sendo capazes de acessar as mensagens, áudios e arquivos trocados pelos usuários. De acordo com o criador, quem desejar ter uma camada extra de segurança pode ativar a limpeza automática de chats e dados, de tempos em tempos, garantindo que eles sejam completamente apagados da memória dos smartphones.

Fonte: BBC, Cellebrite, Moxie Marlinspike (Twitter)