Como funciona o Confide [o mensageiro da Casa Branca]

Made in NYC, o Confide, também é conhecido como mensageiro da Casa Branca. O aplicativo de mensagens começou a ser usado pelo governo dos Estados Unidos quando Donald Trump assumiu a presidência e, desde então, esteve sob os holofotes.

Os funcionários da Casa Branca foram atraídos para o Confide por causa de um curioso diferencial: para ler as mensagens, o aplicativo exige que o leitor passe o dedo sobre o texto enquanto o lê e destrói as mensagens após a leitura. Entretanto, pesquisadores de segurança apontaram, logo em 2017, que o Confide não cumpria a sua promessa.

O Confide

Diferente dos aplicativos que surgem na garagem e pelas mãos de jovens engenheiros de software, o Confide nasceu em 2013, fundado por quatro executivos. Contam que a história é a seguinte: Howard Lerman, um dos cofundadores, mandou um e-mail para outro deles, Jon Brod, pedindo referências de um ex-funcionário. Jon respondeu o e-mail prometendo ligar de volta. Era um assunto sensível, sobre uma terceira pessoa.

Os dois já eram executivos ocupados na época e demoraram seis dias para que eles conseguissem sincronizar seus horários. Quando finalmente conseguiram, comentaram que “deve haver um jeito melhor de fazer isso”. Este foi o momento “eureka”. Daí, passaram noites e fins de semana desenvolvendo o Confide, hoje uma empresa.

“Nós criamos o Confide para trazer a comunicação profissional confidencial ao mundo digital. Na verdade, nós criamos o Confide para nós mesmos. Gostamos de usá-lo em nossa vida privada e queríamos compartilhá-lo com o mundo”, afirmam no site oficial.

Atualmente, o Confide está disponível para MacOS, Windows, iPhone, iPad e Android, traduzido em 15 idiomas, incluindo português. O app oferece suporte a mensagens de texto, fotos, vídeos, documentos e mensagens de voz para uma ou várias pessoas.

Como funciona o Confide

“Comunique-se digitalmente com o mesmo nível de privacidade e segurança de uma conversa pessoal”, diz. Assim como os outros mensageiros, o Confide oferece criptografia de ponta a ponta. Como adicional, os chats são à prova de captura de tela e se autodestroem. “Discuta assuntos delicados, faça brainstorm de ideias ou dê opiniões não filtradas sem temer o registro digital permanente da internet”, sugere o site.

O Confide vende sua ideia baseado em três pilares: criptografado, efêmero e à prova de capturas de tela (prints). Vou deixar a criptografia por último e explico a polêmica.

1) Efêmero

As mensagens do Confide se autodestróem. Depois de lidas uma única vez pelo destinatário, elas somem para todo o sempre — prometem os desenvolvedores do app.

“Nós as excluímos de nossos servidores e as apagamos do dispositivo. Nada de encaminhamento, nada de impressão, nada de salvar… nada de nada”, fiz o F.A.Q.

2) À prova de capturas de tela

As capturas de tela (ou os famosos prints) são o terror de muita gente porque têm o potencial de tornar o não permanente, permanente. O Confide impede fotos da tela com uma tecnologia chamada ScreenShield. O código, porém, ainda não foi patenteado. Ao tentar fazer uma captura de tela, a reprodução do display fica totalmente em branco.

Além disso, a experiência de leitura das mensagens garante que apenas uma linha do texto seja exibida por vez e que o nome do remetente não seja visível enquanto se lê.

3) Criptografia “padrão industrial”

O Confide utiliza o que chama de “criptografia de padrão industrial” — que já chamou também de “padrão militar” — contra a interceptação de mensagens. A empresa afirma que o código do mensageiro, periodicamente, passa por auditorias de segurança de terceiros. O resumo de uma, de 2017, está disponível online. Depois de muita polêmica.

“Nós utilizamos criptografia ponto a ponto para garantir que as conversas permaneçam confidenciais e privadas para você. Até mesmo nós, no Confide, não podemos decodificar ou ver nenhuma mensagem. Sim, depois de serem lidas uma vez, as mensagens desaparecem”, promete o site oficial do mensageiro Confide.

Dois pesquisadores da Quarkslab publicaram um documento e um vídeo como prova de conceito que demonstra como interceptar mensagens do Confide. Ainda de acordo com a dulpa, “o Confide pode ler as mensagens dos usuários”, há ressalvas no app.

Man-in-the-middle

Os mensageiros encriptados, no geral, dependem chaves de criptografia públicas e privadas para manter as mensagens secretas enquanto estão em trânsito. Um remetente embaralha sua mensagem usando a chave pública e a mensagem só pode ser legível novamente com a chave privada do destinatário. A chave privada precisa permanecer em segredo, por isso, ela é armazenada no dispositivo do usuário. 

Se você vai usar o mensageiro no computador ou no tablet, a chave privada precisa permanecer em um único dispositivo. Para funcionar, as plataformas de mensagens emitem chaves exclusivas para cada dispositivo da sua conta. Os usuários devem receber uma notificação se novas chaves forem adicionadas, indicando que pode haver interceptação ou para confirmar que se trata de você mesmo, em outro dispositivo seu.

De acordo com a Quarkslab, o Confide não notificava os usuários quando uma nova chave era gerada para a conta. A empresa ou alguém com acesso à infraestrutura, poderia criar um novo conjunto de chaves para um usuário e decifrar mensagens.

Outra empresa, a IOActive, divulgou outro relatório descrevendo inúmeras questões classificadas como críticas. A exploração dos pontos fracos permitiu o acesso de informações de mais de 7 mil usuários. “O aplicativo não conseguiu impedir adequadamente ataques de força bruta em senhas de contas”, explicava a auditoria.

Correção dos problemas

O Confide também foi apontado na época por usar terminologia “criptografia de grau militar” que, nos círculos de segurança, é conhecido como um termo de marketing e que tem zero significado prático e técnico. O CEO da Confide, Jon Brod, contestou as alegações, dizendo que a Quarkslab havia sido “levemente enganosa” em seu relatório.

Depois desse ínterim, a Confide disse que corrigiu todos os problemas. “Nossa equipe de segurança está monitorando continuamente nossos sistemas e conseguimos detectar um comportamento anormal e corrigir muitos dos problemas durante o teste da IOActive em tempo real. Não apenas esses problemas foram resolvidos, mas também não detectamos que eles foram explorados”, disse o co-fundador à Forbes.

Brod afirmou ainda que a privacidade e a segurança são um processo contínuo. “À medida que surgem problemas, permanecemos comprometidos em abordá-los de maneira rápida e eficiente, como fizemos neste e em todos os casos”, afirmou.

Contudo, não foi o suficiente, congressistas americanos recomendaram o uso de outros aplicativos como Telegram e Signal. Este último continua a ser a escolha número um.

Quem banca o Confide?

Como ponto positivo, o Confide não trabalha com monetização que envolva publicidade e redes de anúncios. Fundos de investimentos, como Google Ventures e SV Angels, já injetaram mais de US$ 3 milhões para ajudar a criar o aplicativo, que também é sincronizado com o iMessage, para usuários Apple. A empresa também oferece versões pagas usuários comuns e com recursos adicionais (a partir de US$ 5 por mês/ano) e empresas e equipes com recursos ilimitados (por US$ 15 por mês/ano).

Por que eu vou usar o Confide?

A companhia sugere o uso do Confide para pedir referências de funcionários, discutir problemas de RH, questões de negócios e até um pouco de fofoca de escritório.

“Conversas confidenciais acontecem o tempo todo no mundo real — ligações telefônicas, discussões em corredores, reuniões, durante um almoço ou café. Estamos trazendo esta experiência para o mundo online de uma forma rápida, fácil e eficiente”.

É o que sugerem.

Com informações: Forbes e Confide

Receba mais sobre Casa Branca na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade