O twitter finalmente adicionando criptografia de mensagens

Twitter está finalmente implantando o recurso de mensagens seguras em todo o aplicativo para Android e iOS nos próximos meses, anunciou o Twitter hoje.

Desde 2017, o Twitter tem oferecido a opção de end-to-end criptografia para conversas privadas entre dois usuários através de seu aplicativo de mensagens secretas, mas apenas para quem baixou o aplicativo de mensagens da Play Store ou da App Store.

A boa notícia é que a partir de agora, todos os usuários do Twitter vão finalmente ter acesso à criptografia de ponta a ponta, sem a necessidade de baixar um aplicativo adicional.

A má notícia, no entanto, é que o Twitter está optando por uma abordagem diferente que é provavelmente menos segura do que o Signal ou o WhatsApp, os principais aplicativos de mensagens criptografadas.

O Twitter está implantando criptografia de ponta a ponta usando o protocolo de criptografia de mensagens OTR (Off-the-Record), que é suportado por uma variedade de aplicativos de mensagens instantâneas, incluindo o Pidgin, o Adium, o Tor Messenger e o Signal, entre outros.

No entanto, a implementação do OTR no Twitter é diferente e, portanto, mais vulnerável a ataques de mitigação.

Enquanto o OTR fornece a opção de verificar a chave de um contato para garantir que a pessoa com quem você está conversando não seja um impostor, o Twitter está fazendo a verificação de chave opcional para contatos, o que significa que alguém pode interceptar suas mensagens criptografadas usando uma técnica conhecida como “interposição de chave” man-in-the-middle.

Para aqueles que não estão familiarizados com a técnica de interposição de chave, ela é executada quando um atacante espalha sua própria chave como se fosse a chave real de outro usuário.

Como resultado, todo o tráfego criptografado é redirecionado para o atacante, que pode lê-lo sempre que quiser.

Se o Twitter não tivesse optado por uma abordagem de tudo ou nada para verificações de chave, teria sido um grande passo em direção à privacidade e à segurança, mas pelo menos agora temos criptografia de ponta a ponta, mesmo que esteja longe de ser perfeita.