Twitter está finalmente implantando o recurso de mensagens seguras em todo o aplicativo para Android e iOS nos próximos meses, anunciou o Twitter hoje.
Desde 2017, o Twitter tem oferecido a opção de end-to-end criptografia para conversas privadas entre dois usuários através de seu aplicativo de mensagens secretas, mas apenas para quem baixou o aplicativo de mensagens da Play Store ou da App Store.
A boa notícia é que a partir de agora, todos os usuários do Twitter vão finalmente ter acesso à criptografia de ponta a ponta, sem a necessidade de baixar um aplicativo adicional.
A má notícia, no entanto, é que o Twitter está optando por uma abordagem diferente que é provavelmente menos segura do que o Signal ou o WhatsApp, os principais aplicativos de mensagens criptografadas.
O Twitter está implantando criptografia de ponta a ponta usando o protocolo de criptografia de mensagens OTR (Off-the-Record), que é suportado por uma variedade de aplicativos de mensagens instantâneas, incluindo o Pidgin, o Adium, o Tor Messenger e o Signal, entre outros.
No entanto, a implementação do OTR no Twitter é diferente e, portanto, mais vulnerável a ataques de mitigação.
Enquanto o OTR fornece a opção de verificar a chave de um contato para garantir que a pessoa com quem você está conversando não seja um impostor, o Twitter está fazendo a verificação de chave opcional para contatos, o que significa que alguém pode interceptar suas mensagens criptografadas usando uma técnica conhecida como “interposição de chave” man-in-the-middle.
Para aqueles que não estão familiarizados com a técnica de interposição de chave, ela é executada quando um atacante espalha sua própria chave como se fosse a chave real de outro usuário.
Como resultado, todo o tráfego criptografado é redirecionado para o atacante, que pode lê-lo sempre que quiser.
Se o Twitter não tivesse optado por uma abordagem de tudo ou nada para verificações de chave, teria sido um grande passo em direção à privacidade e à segurança, mas pelo menos agora temos criptografia de ponta a ponta, mesmo que esteja longe de ser perfeita.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…