Esta semana, uma ordem judicial chamou a atenção da internet: o WhatsApp seria suspenso no Brasil inteiro até que a empresa resolvesse colaborar com investigações da polícia de Teresina, no Piauí. A ordem judicial foi cassada, mas causou pânico entre quem depende do WhatsApp: milhões de brasileiros criaram conta em serviços concorrentes, como o Telegram.

Isso acabou causando uma briga pública entre Viber – outro concorrente do WhatsApp – e Telegram. As acusações são fortes; vamos entendê-las mais a fundo.

A briga começou com este tweet:

“Telegram cheio de problemas de segurança”? O serviço não gostou disso:

O Viber respondeu apontando para um post que menciona o trabalho do israelense Zuk Avraham, dono da empresa de segurança digital Zimperium. No Twitter, o Telegram se defendeu:

E Pavel Durov, russo que fundou o Telegram, sugere que um processinho está por vir:

Criptografia

Um dos diferenciais do Telegram é a promessa de que suas mensagens “são pesadamente criptografadas e podem se autodestruir”. Mas Zuk argumenta que é possível burlar essa criptografia.

Basicamente, o Telegram guarda as mensagens no seu smartphone em texto puro, sem criptografá-las: o app só as encripta ao enviá-las para seus contatos. Dessa forma, se um hacker tiver acesso ao seu celular, não será difícil bisbilhotar suas conversas.

Claro, isso não é tão simples. Zuk testou a invasão no Android 4.4 KitKat com root, e usou um site malicioso que se aproveita de uma falha no Chrome. Isso permite chegar a outra falha, desta vez no kernel do Linux (presente até a versão 3.14.5), que dá acesso a todos os arquivos do seu smartphone.

Um porta-voz do Telegram diz à PC World que esse ataque deixaria qualquer app vulnerável: “a fim de mostrar uma mensagem na tela, você precisa colocá-la na RAM do dispositivo. Um invasor com acesso root pode simplesmente ler a memória do seu dispositivo.”

De fato, Zuk demonstrou que consegue ler as mensagens na RAM:

Telegram e criptografia

Só que isso seria possível com qualquer app. Sean Sullivan, conselheiro de segurança da F-Secure, diz à SC Magazine que “o Telegram oferece um serviço que protege de ponta a ponta, que protege de espionagem em massa”, não de ataques direcionados. Se alguém interceptar suas mensagens no meio do caminho, primeiro terá que quebrar a criptografia delas.

Sullivan lembra que, se o dispositivo estiver vulnerável, os apps dentro dele também estarão. E isso potencialmente vale para o Viber: no FAQ, eles destacam que “todas as mensagens de texto enviadas pelo Viber nas plataformas compatíveis são criptografadas” – enviadas, não armazenadas.

No ano passado, o Viber se envolveu em uma polêmica justamente nessa área: mensagens com foto, vídeo ou localização estavam sendo enviadas sem criptografia. Se alguém interceptasse seu tráfego de internet, poderia ver os arquivos sem dificuldade, pois eles não estavam protegidos. A falha já foi corrigida.

Guerra

Só ontem, o Telegram recebeu 2,5 milhões de novos usuários no Brasil. Hoje, ele é o app para iPhone mais baixado no país, e subiu à posição 21 na Play Store, segundo a App Annie.

Telegram na Play Store

Enquanto isso, o Viber ganhou 3,5 milhões de novos usuários no Brasil entre quarta e quinta-feira. Hoje, ele chegou à 12ª posição na App Store, e à posição 67 em downloads na Play Store.

Viber na Play Store

Pavel Durov acredita que há uma discrepância nos números do Viber:

Este é mais um capítulo da guerra pelas mensagens. O Telegram é financiado por Durov, que fundou a rede social Vkontakte – ela ganhou destaque no Brasil após o fim do Orkut.

Por sua vez, o Viber foi adquirido por US$ 900 milhões no ano passado, e agora pertence à Rakuten, gigante japonesa de e-commerce e também dona dos e-readers Kobo.

E o WhatsApp, como você já sabe, foi comprado pelo Facebook por US$ 22 bilhões. Há muito dinheiro a se ganhar em apps de mensagens, especialmente com serviços adicionais – isso inclui stickers pagos, assinaturas e jogos. Hoje, o Viber lançou no Brasil sua plataforma de games, os quais você acessa através do app de mensagens.

Enquanto isso, o protocolo aberto XMPP – que permite não ficar preso a um app para enviar mensagens – está morrendo de vez. [Zimperium, SC Magazine, PC World; valeu, Moisés!]