O app Signal é seguro? Tudo que você precisa saber sobre a segurança dele

O que é o app Signal e como ele funciona?

O Signal é um serviço de troca de mensagens instantâneas, chamadas de voz e de vídeo com suporte para envios de texto, mensagens de áudio, imagens, vídeos e outros tipos de arquivos e formatos de mídia, o que faz com que ele seja bastante versátil, prático e dinâmico.

Lançado em 29 de julho de 2014 para PC, ele é considerado como sucessor do RedPhone (que era um aplicativo de chamadas de voz) e do TextSecure (um programa de troca de mensagens de textos com criptografia).

O Signal é um aplicativo que usa arquitetura de computação centralizada e que é cross-platform (ou seja, sua conta pode ser acessada em diferentes plataformas sem que você precise baixar versões para cada plataforma diferente e criar contas específicas para cada uma delas), desenvolvido e mantido pela Signal Foundation, uma organização sem fins lucrativos. Ele conta com versões para sistemas Android, iOS, macOS, Windows e Linux. Para fazer um cadastro pelo desktop, é necessário ter um dispositivo móvel com sistema Android ou iOS.

O Signal funciona de forma bastante parecida com outros aplicativos do gênero. Os usuários precisam ter um número de telefone móvel para fazer o cadastro na plataforma, criar uma conta e gerenciá-la, podendo se comunicar com qualquer outro usuário do app através de um serviço protegido com criptografia de ponta a ponta. Além da criptografia, o Signal conta com ferramentas que permitem a verificação independente da identidade dos contatos e da integridade de cada canal criado no app.

Os prós e contras de usar o app Signal

O Signal é bastante prático para o propósito ao qual ele se orienta, que é o de permitir comunicações rápidas e práticas entre os usuários. E, como qualquer outro programa ou recurso, ele tem seus pontos positivos e negativos:

Pontos positivos

• Criptografia de ponta a ponta que protege a privacidade das comunicações entre os usuários com o protocolo Signal Protocol, que usa PFS (Perfect Forward Secrecy, ou Sigilo Perfeito de Encaminhamento) que protege mensagens de texto, voz e chamadas de vídeo e/ou áudio).

• Gratuito para usar, sem nenhum tipo de cobrança ou limite de tempo de uso.

• Software open source (código aberto), que permite verificação, auditoria e acesso a qualquer pessoa, garantindo mais transparência para a estrutura e o funcionamento do app.

• Recurso de exclusão automática de mensagens.

• Ausência de registro dos endereços de IP dos usuários.

• Coleta mínima de dados dos usuários.

• Publicação de relatórios de transparência que, juntamente com o fato de o programa ser open source, ajuda na credibilidade e na confiança no programa.

• Interface fácil de usar, garantindo um programa acessível para praticamente qualquer pessoa.

Pontos negativos

• Exigência de um número de telefone para permitir o cadastro dos usuários.

• Problemas ocasionais com o envio e o recebimento de mensagens e demais conteúdos.

• Vulnerabilidades relacionadas à clonagem e roubo de números de telefone.

• Problemas de sincronização, já que a conexão da versão do Signal para desktop com dispositivos móveis não executa a sincronização do histórico de conversas, fazendo o registro apenas das mensagens enviadas depois da realização da integração.

Riscos de segurança associados ao app Signal

No geral, o Signal é um aplicativo bastante seguro e confiável. Mas ele não é perfeito. Os principais riscos de segurança são a exploração de dados (que podem ser usados por governos, empresas e até cibercriminosos) dos usuários, ciberataques com phishing e spyware e malware (afinal, o conteúdo compartilhado entre os usuários do Signal é de responsabilidade dos usuários e pode sim ser nocivo), falhas na criptografia e uso de backdoors que podem gerar a exposição das comunicações pessoais a agentes maliciosos e terceiros.

Além disso, os riscos com vazamento de dados são reais caso cibercriminosos consigam invadir os sistemas e redes da empresa que mantém o Signal. Os ataques contra números de telefone e ações como clonagem de números são problemas que podem afetar diretamente as contas e a segurança dos usuários, já que o app depende de um número de telefone para funcionar.

Em 2022, por exemplo, a Twilio (a empresa que fornece serviços de verificação de números de telefone ao Signal) sofreu com um ataque de phishing. Apesar de os dados pessoais dos usuários não terem sido vazados e comprometidos (os cibercriminosos chegaram a tentar reutilizar os números de telefone de 1900 usuários para cadastrar contas na plataforma, sem sucesso), esse episódio mostrou que nenhuma empresa está imune a esse tipo de ameaça, nem mesmo aquelas que oferecem os serviços mais seguros.

E se as próprias empresas não estão totalmente a salvo dessas ciberameaças, então a exposição dos indivíduos é ainda maior e a necessidade de tomar certos cuidados é ainda mais significativa. Além disso, práticas de cyberbullying, disseminação de notícias falsas (inclusive com uso de ferramentas de inteligência artificial).

O app Signal é seguro?

Sim, é. O Signal é consideravelmente o aplicativo de trocas de mensagens mais seguro do mercado. Ele não está ligado a nenhuma grande big tech e apresenta um nível de privacidade mais elevado.

O Signal só coleta um número muito pequeno de informações pessoais dos usuários, como o número de telefone, por exemplo (que também serve como seu ‘’nome de usuário’’). Apesar de esse ser um nível de exposição de um dado pessoal importante, é praticamente impossível usar qualquer plataforma sem nenhum tipo de informação pessoal, mesmo que um e-mail, por exemplo. Tokens de autenticação, chaves pessoais e tokens que permitem notificações do tipo push são alguns dos dados que são armazenados nos servidores do Signal.

Além disso, há muito menos incidentes relacionados ao Signal do que concorrentes como WhatsApp (confira nosso guia completo para saber se o WhatsApp Web é seguro) e Telegram. A criptografia de ponta-a-ponta garante que só você e a pessoa para a qual você envia mensagens consigam visualizar o conteúdo.

Signal, Telegram ou WhatsApp: qual app de mensagens é o mais seguro?

O Telegram e o WhatsApp também são aplicativos de troca de mensagens instantâneas. O WhatsApp é o mais popular entre os brasileiros (com mais de 139 milhões de usuários) e o Telegram é uma alternativa cada vez mais usada por quem quer um nível maior de autonomia e privacidade para as comunicações (e já tem mais de 21 milhões de usuários no Brasil).

Apesar de ser relativamente nichado no Brasil (no país, 13% dos smartphones têm o app instalado), o Signal é uma ótima escolha e alternativa em relação aos outros dois apps.

Todos eles são gratuitos, possuem criptografia e contam com versões para desktop (Windows, Linux e macOS) e dispositivos móveis (Android e iOS). Mas há diferenças entre eles apesar desses pontos em comum.

O Telegram usa criptografia MTProto e o Signal e o WhatsApp usam criptografia Signal Protocol. Enquanto o Signal é totalmente feito em código aberto, o Telegram só é parcialmente open-source e o WhatsApp não é feito em código aberto.

Em relação à privacidade dos usuários, o Signal só coleta seu número de telefone, enquanto o Telegram coleta seu nome, número de telefone, seus contatos e seu ID de usuário e o WhatsApp coleta uma quantidade imensa de dados tendo a coleta mais ampla entre as três opções.

O Signal não conta com versões premium nem assinaturas, sendo totalmente fundado pela Signal Foundation, o Telegram conta com recursos premium adicionais e o WhatsApp conta com versões voltadas para negócios (mas que também são gratuitas).

Apesar de todos serem práticos e eficientes e oferecerem um bom nível de privacidade, o Signal oferece a melhor criptografia, maior nível de privacidade e menor taxa de coleta de dados pessoais.

Dicas para melhorar sua segurança em aplicativos como o Signal

Para melhorar seu nível de cibersegurança ao usar apps de troca de mensagens como WhatsApp, Telegram e Signal, vale a pena adotar essas medidas preventivas:

• Escolha um app seguro e confiável: evite aplicativos ‘’alternativos’’, versões adulteradas ou cópias de aplicativos conhecidos. Use apenas aplicativos verificados, conhecidos e confiáveis e que tenham um nível de segurança adequado para o sigilo e a privacidade das suas conversas e dos seus dados.
• Mantenha seus apps, sistemas e programas sempre atualizados: manter todas as atualizações em dia ajuda a corrigir vulnerabilidades que podem ser usadas pelos cibercriminosos para conduzir ataques, roubar dados e dinheiro e realizar inúmeras ações maliciosas. Além disso, as atualizações ajudam a melhorar a performance dos programas e sistemas.
• Use uma senha forte e única: crie uma senha forte e única para cada conta. Alterne entre letras maiúsculas e minúsculas, números e caracteres especiais e não use a mesma senha para contas diferentes. Confira nosso guia completo com ideias de senhas mais robustas para melhorar a segurança das suas contas.
• Use uma boa VPN: com uma VPN profissional e robusta você garante mais segurança e privacidade para as suas conexões com criptografia de última geração. Ao criar um túnel seguro, a VPN faz com que o fluxo de dados e informações que entram e saem da sua conexão. A NordVPN conta com a funcionalidade de Proteção Contra Ameaças Pro™ que bloqueia páginas de phishing, verifica os arquivos que você baixa para encontrar malware (tudo durante o processo de download) e afasta publicidade invasiva e maliciosa.
• Cuidado com links e arquivos em anexo: sempre que receber qualquer mensagem (seja via SMS, e-mail, mensagens em apps ou redes sociais, por exemplo) com um link ou um arquivo em anexo, verifique a procedência da mensagem e a integridade do conteúdo. Nunca clique em nada nem baixe qualquer coisa sem ter certeza absoluta sobre a confiabilidade do material. Links maliciosos são muito usados em ataques de phishing e arquivos em anexo podem ser malwares enviados por cibercriminosos para invadir e infectar seus dispositivos.
• Verifique seus contatos: antes de iniciar uma conversa, responder um contato ou adicionar alguém, verifique a identidade da pessoa para evitar cair em qualquer tipo de golpe, principalmente aqueles nos quais os cibercriminosos falsificam identidades e se passam por alguém que você conhece.
• Fique sempre alerta em relação aos golpes: procure sempre se informar sobre as estratégias que os golpistas usam para criar golpes, atacar sistemas, redes e dispositivos e roubar informações e dinheiro das vítimas. Informação e conhecimento são seus maiores aliados na luta contra as ciberameaças que rondam pela internet.
• Ative a autenticação de dois fatores: sempre que possível, habilite o recurso de autenticação de dois fatores (2FA) ou de autenticação multifatorial (MFA) para proteger suas contas. Isso faz com que suas contas fiquem mais protegidas contra invasões e roubo, já que é necessário fazer um processo de autenticação sempre que houver uma nova tentativa de acesso (assim, elas ficam seguras mesmo que os criminosos consigam roubar suas informações de login).