.
Um novo serviço de mensagens que afirmava colocar a privacidade em primeiro lugar retirou suas reivindicações de criptografia de ponta a ponta de seu site e seu aplicativo das lojas de software da Apple e do Google depois de ser questionado online.
Converso – um aplicativo de comunicação lançado em setembro de 2022 – se autodenomina um “aplicativo de mensagens de última geração que mantém suas conversas totalmente privadas”. Isso, de acordo com o site do desenvolvedor, incluía “proprietário tecnologia de criptografia de ponta a ponta de última geração”, sem armazenamento de mensagens em servidores e “absolutamente nenhum uso de dados do usuário.” Ele alegou que poderia enfrentar empresas como Signal e WhatsApp nas apostas de segurança.
Um blogueiro que atende por Crnković e tem interesse em protocolos de criptografia ouviu falar do Converso em um anúncio em um podcast e decidiu bisbilhotar para ver se o software correspondia ao hype.
Para isso, ele baixou o APK e disse que descobriu que o código da Converso fazia referências aos algoritmos criptográficos AES e RSA e um kit de desenvolvimento de software drop-in da Seald para criptografia e autenticação de chave pública.
Crucialmente, e mais preocupante, Crnković descobriu que o aplicativo se comunicava com um banco de dados hospedado no Google Cloud que foi deixado completamente aberto ao público pelos desenvolvedores do software. Este banco de dados do Firestore, segundo nos disseram, incluía conteúdo de mensagens criptografadas, metadados sobre as mensagens das pessoas, suas chaves privadas de criptografia, números de telefone e muito mais. Essencialmente, seria possível para qualquer um buscar essas informações e descriptografar a mensagem de um estranho que passou pelo aplicativo, de acordo com o pesquisador.
Crnković concluiu:
“Dissecar o Converso foi, em grande parte, um exercício de aprender conforme o uso para mim, já que não tenho experiência anterior em aplicativos móveis de engenharia reversa”, disse Crnković Strong The One. “Fiquei chocado com cada erro exponencialmente pior.”
Crnković publicado um artigo sobre essas descobertas em 10 de maio, e Strong The One contatou a Converso em 12 de maio para obter sua resposta. Em 13 de maio, grande parte do texto no site – incluindo as reivindicações E2EE “proprietárias” – havia desaparecido ou sido diluído um pouco.
O CEO e fundador da Converso, Tanner Haas, em um longo e-mail para Strong The Onedisse que sua startup “leva os problemas de privacidade muito a sério e, quando fomos informados sobre as vulnerabilidades, trabalhamos imediatamente para corrigi-las o mais rápido possível”.
“Qualquer informação relacionada a usuários, números de telefone e dados é protegida e não acessível aos invasores”, disse Haas. Bem, esperamos que sim. Ele se recusou a responder a uma pergunta sobre um rastreador do Google Analytics encontrado no aplicativo, cuja presença em um aplicativo de privacidade é desaprovada por alguns no mundo da segurança da informação.
Quando questionado sobre qual(is) protocolo(s) de criptografia o Converso usa, Haas orientou Strong The One para o Site da Seald.
Também perguntamos a Haas se o Converso usa Seald como a única autoridade de certificação do aplicativo para mapear identidades para chaves públicas, como Crnković observou em seu blog.
“Embora o Seald seja usado como uma autoridade de certificação de terceiros, há etapas adicionais de autenticação projetadas para impedir que alguém leia as mensagens protegidas de outros usuários”, escreveu Haas no e-mail. “Isso inclui impedir que os usuários acessem textos cifrados que não são destinados a eles”.
O serviço de mensagens “já havia reconstruído o fluxo de autenticação do aplicativo antes que qualquer problema em potencial fosse exposto. Quaisquer segredos vazados no lado do cliente são de uma versão mais antiga do aplicativo e qualquer pessoa que esteja nas atualizações mais recentes não está mais usando as identidades gerado na versão anterior”, afirmou.
Haas encorajou Crnković a testar novamente o Converso em 60 dias “com o mesmo entusiasmo” do blog original. Ele também reiterou “nunca tivemos e nunca teremos uso comercial dos dados do usuário”.
Além disso, o aplicativo foi “retirado temporariamente” da App Store e do Google Play “enquanto abordamos e melhoramos quaisquer vulnerabilidades potenciais restantes”.
Deixe a contagem regressiva começar. ®
.
