Confide: a aplicação de mensagens segura que não o era

Confide: a aplicação de mensagens segura que não o era

Confide

O Confide é uma aplicação de mensagens que promete “criptografia de nível militar” e “encriptação ponta-a-ponta”, afirmando proporcionar a possibilidade de “comunicar digitalmente com o nível de privacidade e segurança que a palavra falada”, dando-lhe o “conforto de saber que as suas mensagens privadas irão verdadeiramente permancer assim”. Nos Estados Unidos, a popularidade desta aplicação aumentou depois de ter sido noticiado que membros da administração Trump e outros republicanos a utilizavam para proteger as suas comunicações.

No entanto, descobriu-se agora que o Confide não cumpria as suas promessas. A empresa IOActive identificou 11 vulnerabilidades na aplicação, que poderiam permitir a um atacante:

  • Fazer-se passar por outro utilizador ao roubar a sessão da sua conta
  • Fazer-se passar por outro utilizador ao descobrir a sua palavra-passe
  • Descobrir dados de contacto (como o nome, email e número de telefone) de todos os utilizadores ou de utilizadores em específico
  • Tornar-se intermediário de uma conversa e desencriptar mensagens
  • Alterar os conteúdos de uma mensagem ou anexo em trânsito sem os desencriptar primeiro

No dia 28 de Fevereiro, a IOActive comunicou os resultados da sua análise à Confide, que, no dia 3 de Março, informou ter remediado os problemas mais críticos.

Esta situação é um bom exemplo da perigosidade do sensacionalismo em artigos sobre segurança de aplicações. Por exemplo, quando foi noticiado que existia um backdoor no WhatsApp, apesar disso não corresponder à verdade, provavelmente muitas pessoas trocaram a aplicação por outras que poderiam ser menos seguras, como o Confide. E, como se veio a descobrir, o Confide não era, de facto, muito seguro.