Twitter está finalmente implantando o recurso de mensagens seguras em todo o aplicativo para Android e iOS nos próximos meses, anunciou o Twitter hoje.
Desde 2017, o Twitter tem oferecido a opção de end-to-end criptografia para conversas privadas entre dois usuários através de seu aplicativo de mensagens secretas, mas apenas para quem baixou o aplicativo de mensagens da Play Store ou da App Store.
A boa notícia é que a partir de agora, todos os usuários do Twitter vão finalmente ter acesso à criptografia de ponta a ponta, sem a necessidade de baixar um aplicativo adicional.
A má notícia, no entanto, é que o Twitter está optando por uma abordagem diferente que é provavelmente menos segura do que o Signal ou o WhatsApp, os principais aplicativos de mensagens criptografadas.
O Twitter está implantando criptografia de ponta a ponta usando o protocolo de criptografia de mensagens OTR (Off-the-Record), que é suportado por uma variedade de aplicativos de mensagens instantâneas, incluindo o Pidgin, o Adium, o Tor Messenger e o Signal, entre outros.
No entanto, a implementação do OTR no Twitter é diferente e, portanto, mais vulnerável a ataques de mitigação.
Enquanto o OTR fornece a opção de verificar a chave de um contato para garantir que a pessoa com quem você está conversando não seja um impostor, o Twitter está fazendo a verificação de chave opcional para contatos, o que significa que alguém pode interceptar suas mensagens criptografadas usando uma técnica conhecida como “interposição de chave” man-in-the-middle.
Para aqueles que não estão familiarizados com a técnica de interposição de chave, ela é executada quando um atacante espalha sua própria chave como se fosse a chave real de outro usuário.
Como resultado, todo o tráfego criptografado é redirecionado para o atacante, que pode lê-lo sempre que quiser.
Se o Twitter não tivesse optado por uma abordagem de tudo ou nada para verificações de chave, teria sido um grande passo em direção à privacidade e à segurança, mas pelo menos agora temos criptografia de ponta a ponta, mesmo que esteja longe de ser perfeita.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…