Novo recurso de mensagem criptografada do Twitter é criticado por especialistas em segurança e privacidade

Tecnologia



Washington
CNN

Especialistas em privacidade e segurança criticaram amplamente um novo recurso que o Twitter revelou na quarta-feira que criptografa algumas mensagens diretas entre usuários, levantando questões sobre o futuro da segurança do usuário na plataforma.

Os primeiros esforços do Twitter para proteger mensagens diretas com criptografia parecem estar repletos de advertências, falhas e riscos que podem colocar em risco os usuários, disseram os especialistas depois que a empresa lançou seu lançamento inicial.

Com a primeira iteração do recurso, apenas os usuários que são assinantes pagantes do Twitter Blue ou cujas organizações pagaram para serem verificados com a empresa podem usar mensagens criptografadas.

Além disso, as mensagens criptografadas só podem ser enviadas entre dois indivíduos, não entre grupos. A criptografia de imagens, vídeos e outras mídias não é suportada. Ambos os participantes devem ter trocado mensagens diretas no passado ou o destinatário de uma mensagem criptografada já deve seguir o remetente.

Talvez o mais importante seja que o Twitter reconheceu que, mesmo com o recurso de criptografia ativado, a própria empresa e outros terceiros ainda podem acessar as mensagens do usuário.

“Estou tentando ser positivo sobre o Twitter implantar DMs criptografados, embora haja tantas coisas sobre esse sistema que o fazem parecer um lançamento v0.1 ou são apenas desagradáveis”, disse Matthew Green, um criptógrafo e professor de ciência da computação. na Universidade Johns Hopkins, em um twittar.

A ex-diretora de segurança da informação do Twitter, Lea Kissner, implorou publicamente à atual equipe de engenharia do Twitter para melhorar o recurso rapidamente.

“Gente do Twitter, sério. Deixei alguns documentos de design em algum lugar. Por favor, use-os,” Kissner disse no céu azul, uma plataforma rival.

O Twitter descreveu as mensagens criptografadas como a chave para o futuro da empresa de se tornar “a plataforma mais confiável da Internet”. Mas o lançamento fornece outro exemplo de como, sob o comando do CEO Elon Musk, o Twitter avançou com mudanças significativas na plataforma sobre os avisos de pesquisadores independentes sobre possíveis consequências não intencionais decorrentes de atualizações incompletas ou mal implementadas.

Em um postagem no blog Na quarta-feira, o Twitter disse que os usuários de seu aplicativo mais recente poderão participar de mensagens diretas criptografadas. E anunciou que seu objetivo é fornecer um nível de proteção semelhante ao de outros aplicativos de preservação da privacidade altamente recomendados por especialistas em segurança, como o Signal.

“O padrão deveria ser, se alguém apontar uma arma para nossas cabeças, ainda assim não poderemos acessar suas mensagens”, disse o post do blog. “Ainda não chegamos lá, mas estamos trabalhando nisso.”

Mas a empresa também reconheceu as limitações do recurso, incluindo o fato de que a nova opção de criptografia “não oferece proteção contra ataques man-in-the-middle”.

“Como resultado, se alguém – por exemplo, um insider malicioso ou o próprio Twitter como resultado de um processo legal compulsório – comprometesse uma conversa criptografada, nem o remetente nem o destinatário saberiam”, disse o post do Twitter.

A falta da chamada criptografia de ponta a ponta torna a implementação do Twitter sem sentido, disseram especialistas em segurança.

“TODO OBJETIVO da criptografia de ponta a ponta é protegê-lo contra quem quer que controle os servidores de mensagens”, disse Marcus Hutchins, também conhecido como MalwareTech, no Bluesky.

John Scott-Railton, pesquisador de cibersegurança e desinformação, tuitou que esta ressalva significa que “não é seguro para qualquer pessoa preocupada com privacidade e segurança assumir que isso tem proteções equivalentes a coisas como [Signal].”

O novo recurso do Twitter também criptografa as mensagens no nível da conversa, não cada mensagem individual. Isso significa que, se um ator mal-intencionado obtiver acesso não autorizado às chaves, ele poderá visualizar toda a cadeia de mensagens. Uma abordagem mais forte seria atribuir a cada mensagem sua própria chave de criptografia, um recurso que já existe em outros aplicativos.

Jonathan Mayer, cientista da computação da Universidade de Princeton e ex-chefe de tecnologia da Comissão Federal de Comunicações, disse que a versão de criptografia do Twitter falharia nos princípios básicos ensinados em um curso de Segurança da Informação 101.

“Nós literalmente ensinamos os alunos a não fazer exatamente o que o Twitter está fazendo”, Mayer disse.

Um dos maiores perigos do recurso para os usuários é que eles podem ter uma falsa sensação de segurança, acrescentou Hutchins, o que seria muito pior do que o Twitter não oferecer nenhuma criptografia, porque os usuários podem ser levados a compartilhar mais mensagens no Twitter do que eles caso contrário faria.

Numa aparente resposta à onda de críticas, Musk tuitou quinta-feira cedo: “Experimente, mas não confie ainda.”



Fonte CNN

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *