Threema
Threema é uma aplicação paga de mensagens instantâneas criptografadas multiplataforma desenvolvido pela Threema GmbH na Suíça e lançado em 2012. O serviço opera numa arquitetura descentralizada e oferece criptografia ponta a ponta. Os utilizadores podem fazer chamadas de voz e vídeo, enviar fotografias, arquivos e notas de voz, compartilhar locais e formar grupos. Ao contrário de muitas aplicações populares de mensagens seguras, o Threema não exige números de telemóvel ou endereço de e-mail para registo, apenas uma compra única que pode ser paga através de uma loja de aplicações ou anonimamente com Bitcoin ou dinheiro.[1]
Threema está disponível para iOS e Android e possui clientes para Windows, macOS, Linux, e pode ser acedido via navegador web, mas requer uma aplicação móvel para funcionar.[2]
Características
[editar | editar código-fonte]O serviço afirma ser baseado nos princípios de privacidade desde a conceção, não exigindo um número de telefone ou outras informações de identificação pessoal. Isso ajuda a anonimizar os utilizadores até certo ponto.[3][4][5]
Threema usa um ID de utilizador, criado após o lançamento inicial do aplicativo por um gerador aleatório, em vez de exigir um endereço de e-mail ou um número de telemóvel vinculado para enviar mensagens. É possível encontrar outros utilizadores por número de telefone ou endereço de e-mail se o utilizador permitir que a aplicação sincronize a sua agenda de contactos.[6] Vincular um número de telefone ou endereço de e-mail a um ID Threema é opcional. Portanto, o serviço pode ser usado anonimamente. Os utilizadores podem verificar a identidade dos seus contactos do Threema digitalizando o seu código QR quando se encontrarem fisicamente. O código QR contém a chave pública do utilizador, que está criptograficamente vinculada ao ID e não será alterada durante a vida da identidade.[7] Usando esse recurso de autenticação forte, os utilizadores podem garantir que possuem a chave pública correta dos seus parceiros de chat, o que fornece segurança adicional contra ataques man-in-the-middle. O Threema possui três níveis de autenticação (níveis de confiança da identidade do contacto). O nível de verificação de cada contacto é exibido no aplicativo Threema como pontos ao lado do contacto correspondente.
Para além de mensagens de texto, os utilizadores podem fazer chamadas de voz e de vídeo, enviar multimédia, localizações, mensagens de voz e ficheiros.[8] Uma versão do aplicativo da web, Threema Web, pode ser usada em dispositivos desktop,[9] mas apenas enquanto o telefone com a instalação do Threema do utilizador estiver online. Existe uma versão beta para usuários de iOS, onde é possível deixar o telefone offline e ainda usar o aplicativo para desktop.[10]
Para além de de chats individuais, o Threema oferece chats em grupo para até 256 pessoas. Os utilizadores podem fazer chamadas de voz e de vídeo, enviar mensagens de texto e voz, multimédia, localizações e ficheiros de qualquer tipo (até 50 MB por ficheiro).[8][11] Também é possível criar sondagens em chats pessoais ou de grupo.[12]
Programas
[editar | editar código-fonte]O Threema é desenvolvido pela empresa suíça Threema GmbH.[13][14] Os servidores estão na Suíça e o desenvolvimento é baseado em Pfäffikon SZ. Em maio de 2021, o Threema tinha 10 milhões de utilizadores[15] e a versão empresarial, Threema Work, era usada por 2 milhões de utilizadores em 5.000 empresas e organizações.[16]
No final de julho de 2021, a Threema introduziu a capacidade para as empresas hospedarem o mensageiro nos seus próprios servidores, destinado principalmente a empresas com preocupações de privacidade significativamente elevadas.[17]
Clientes
[editar | editar código-fonte]Desenvolvedor | Threema GmbH |
Lançamento | dezembro de 2012[18] |
Idioma(s) | Multilíngue |
Sistema operacional | iOS, Android, Windows Phone |
Gênero(s) | Mensageiro instantâneo encriptado e chamadas de voz |
Licença | Cliente de Android: AGPL-3.0-only iOS client: AGPL-3.0-only Cliente Web: AGPL-3.0-or-later[19] Protocolo: MIT[20] |
Estado do desenvolvimento | Ativo |
Página oficial | threema |
Com o Threema Web, um cliente para navegadores da web, o Threema pode ser usado em outros dispositivos, como computadores desktop, embora apenas enquanto o dispositivo original estiver online.
Threema suporta opcionalmente smartwatches Android Wear e Android Auto.[21] Threema lançou um suporte para videochamadas criptografadas de ponta a ponta em 10 de agosto de 2020. As chamadas são de pessoa para pessoa, com chamadas em grupo indisponíveis.[22]
O aplicativo não permite a auto-eliminação de mensagens após período definido pelos interlocutores. O aplicativo impede capturas de tela em conversas quando configurado para isso.
Arquitetura
[editar | editar código-fonte]Toda a comunicação via Threema é criptografada de ponta a ponta. Durante a configuração inicial, o aplicativo gera um par de chaves e envia a chave pública ao servidor, mantendo a chave privada no dispositivo do utilizador.[23] A aplicação então criptografa todas as mensagens e ficheiros enviados a outros utilizadores do Threema com as suas respetivas chaves públicas.[24][25] Depois de uma mensagem ser entregue com sucesso, ela é imediatamente excluída dos servidores.[26]
O processo de criptografia usado pelo Threema é baseado na biblioteca de código aberto NaCl. Threema usa criptografia assimétrica baseada em CCE, com força de 256 bits. Threema oferece um recurso de "Registo de validação" que permite confirmar se as mensagens são criptografadas de ponta a ponta usando a biblioteca de Rede e Crioptografia NaCl.[27] Em agosto de 2015, o Threema foi submetido a uma auditoria externa de segurança.[28] Investigadoresdo cnlab confirmaram que o Threema permite criptografia segura de ponta a ponta e alegaram que não conseguiram identificar quaisquer pontos fracos na implementação. Os investigadores do cnlab também confirmaram que o Threema fornece anonimato aos seus utilizadores e lida com os contactos e outros dados do utilizador conforme anunciado.[29][30]
História
[editar | editar código-fonte]A Threema foi fundada em dezembro de 2012 por Manuel Kasper.[31] A empresa foi inicialmente denominada de Kasper Systems GmbH.[32] Martin Blatter e Silvan Engeler foram posteriormente recrutados para desenvolver uma aplicação Android que foi lançada no início de 2013.[33]
No verão de 2013, as revelações de Snowden ajudaram a criar interesse na Threema, aumentando o número de utilizadores para centenas de milhares.[34] Quando o Facebook assumiu o controle do WhatsApp em fevereiro de 2014, a Threema conquistou 200 mil novos utilizadores, duplicando a sua base de utilizadores em 24 horas.[35] Cerca de 80% desses novos utilizadores vieram da Alemanha. Em março de 2014, Threema tinha 1,2 milhões de utilizadores.[33]
Na primavera de 2014, as operações foram transferidas para a recém-criada Threema GmbH.[32][36]
Em dezembro de 2014, a Apple listou a Threema como a aplicação mais vendida de 2014 na App Store alemã.[37]
Em 2020, a Threema expandiu-se com videochamadas,[22] planeia abrir o código-aberto das suas aplicações do lado do cliente e introduzir versões reproduzíveis deles,[38] bem como introduzir o Threema Education, uma variação do Threema destinada a instituições de ensino.
Durante a segunda semana de 2021, a Threema viu uma quadruplicação dos downloads diários estimulados por polémicas mudanças de privacidade no serviço de mensagens WhatsApp. Um porta-voz da empresa também confirmou que a Threema alcançou o topo dos rankings de aplicações pagas na Alemanha, Suíça e Áustria.[39] Esta tendência continuou na terceira semana do ano, com o responsável de Marketing & Vendas a confirmar que os downloads aumentaram dez vezes mais do que o normal, levando a “centenas de milhares de novos utilizadores todos os dias”.[40]
Em outubro de 2022, investigadores da ETH Zurique relataram múltiplas vulnerabilidades que afetam a segurança do Threema contra ataques baseados em rede, servidor e cliente. Uma nova versão corrigindo esses problemas foi lançada em novembro de 2022 e as vulnerabilidades foram anunciadas publicamente em janeiro de 2023.[41]
Produtos relacionados
[editar | editar código-fonte]Threema Work: Em 25 de maio de 2016, a Threema Work, uma versão corporativa do Threema, foi lançada. A Threema Work oferece recursos estendidos de administração e implantação.[42] A Threema Work é baseada num modelo de assinatura anual.[43]
Threema Gateway: Em 20 de março de 2015, a Threema lançou um gateway para empresas. Semelhante a um gateway SMS, as empresas podem usá-lo para enviar mensagens aos utilizadores que possuem a Threema instalada.[44] O código do Threema Gateway SDK está aberto para programadores e disponível no GitHub.[45]
Threema Broadcast: Em 9 de agosto de 2018, a Threema lançou a Threema Broadcast, uma ferramenta para comunicação de cima para baixo. Semelhante aos e-mails em boletins informativos eletrónicos, as mensagens da Threema podem ser enviadas para qualquer número de assinantes do feed, e a Threema Broadcast permite criar chatbots.[46]
Threema Education: Em 10 de setembro de 2020, a Threema lançou a Threema Education, uma versão do seu mensageiro voltada para instituições de ensino. A aplicação integra a Threema Broadcast e exige um pagamento único para cada dispositivo usado. Destina-se ao uso por professores, alunos e pais.[47]
Threema OnPrem: Em 27 de julho de 2021, a Threema lançou a Threema OnPrem, uma versão do mensageiro que poderia ser hospedada nos servidores da própria empresa para fins de segurança máxima.[48]
Privacidade
[editar | editar código-fonte]Como os servidores da Threema estão localizados na Suíça, eles estão sujeitos à lei federal suíça sobre proteção de dados. O data center é certificado pelo ISO/IEC 27001.[49] Vincular um número de telefone e/ou endereço de e-mail a um ID Threema é opcional; ao fazer isso, apenas os valores de soma de verificação (SHA-256 HMAC com uma chave estática) do endereço de e-mail e/ou número de telefone são enviados para o servidor.[50] Devido ao pequeno número de combinações possíveis de dígitos de um número de telefone, o número de telefone associado a uma soma de verificação poderia ser determinado por força bruta. Os dados transmitidos são protegidos por TLS. Os dados do catálogo de endereços são mantidos apenas na memória volátil do servidor e são excluídos imediatamente após a sincronização dos contactos.[51] Se um utilizador optar por vincular um número de telefone ou endereço de e-mail ao seu ID Threema, ele poderá remover o número de telefone ou endereço de e-mail a qualquer momento.[52] Caso um utilizador perca o seu dispositivo (e a sua chave privada), ele poderá revogar o seu ID Threema se uma senha de revogação para esse ID tiver sido definida.[53]
Os grupos são geridos exclusivamente nos dispositivos dos utilizadores e as mensagens de grupo são enviadas a cada destinatário como uma mensagem individual, encriptada com a respetiva chave pública. Assim, as composições dos grupos não são expostas diretamente ao servidor. [54]
Os dados (incluindo ficheiros de média) armazenados nos dispositivos dos utilizadores são criptografados com AES 256. No Android, ele também pode ser protegido por uma palavra-passe.[55]
Desde 2016, que a Threema GmbH publica um relatório de transparência onde são divulgadas os pedidos de informação das autoridades públicas.[56]
Em 9 de março de 2017, a Threema foi listada no "Registo de organizadores de divulgação de informações na Internet" operado pelo Serviço Federal de Supervisão de Comunicações, Tecnologia da Informação e Meios de Comunicação de Massas da Federação Russa.[57]
Em resposta, um porta-voz da Threema declarou publicamente: “Operamos sob a lei suíça e não temos permissão nem estamos dispostos a fornecer qualquer informação sobre os nossos utilizadores a autoridades estrangeiras”.[58]
Em 29 de abril de 2021, a Threema ganhou um caso significativo no Supremo Tribunal Federal da Suíça contra o Departamento Federal Suíço de Polícia e Justiça, que desejava classificar a empresa como uma provedora de telecomunicações. Se tivessem perdido o caso, a Threema teria a obrigação legal de identificar os utilizadores e enviar as informações sobre os seus utilizadores às autoridades.[59]
A partir de janeiro de 2022, as Forças Armadas Suíças sugeriram que as tropas deveriam usar a Threema em vez do WhatsApp, Telegram e Signal, citando o facto da Threema estar sediada na Suíça sem servidores nos Estados Unidos e, portanto, não sujeito à Lei CLOUD, prometendo também que os soldados seriam reembolsados pelo custo.[60]
Receção
[editar | editar código-fonte]Em fevereiro de 2014, a organização de consumidores alemã Stiftung Warentest avaliou vários aspectos de proteção de dados da Threema, WhatsApp, Telegram, BlackBerry Messenger e Line. Considerou a segurança da transmissão de dados entre clientes, os termos de uso dos serviços, a transparência dos prestadores de serviços, a disponibilidade do código-fonte e a disponibilidade geral das aplicações. A Threema foi a única aplicação classificada como 'não crítica' (unkritisch) em relação à proteção de dados e à privacidade, mas perdeu pontos devido à sua natureza de código fechado, embora isso tenha mudado para os seus clientes frontend desde o final de 2020.[61]
Em conjunto com a Cryptocat e a Surespot, a Threema ficou em primeiro lugar num estudo que avalia a segurança e usabilidade de software de criptografia de mensagens instantâneas, conduzido pelo Grupo PSW Alemão em junho de 2014[62]
Em novembro de 2015, Threema obteve uma pontuação de 6 em 7 pontos no - agora retirado e desatualizado - "Quadro de Resultados de Mensagens Seguras" da Electronic Frontier Foundation. Recebeu pontos por ter comunicações criptografadas em trânsito, ter comunicações criptografadas com chaves às quais o provedor não tem acesso (ou seja, ter criptografia ponta a ponta), possibilitar aos utilizadores verificar de forma independente a identidade dos seus correspondentes, ter comunicações passadas seguras se as chaves forem roubadas (ou seja, implementação de sigilo direto), ter o seu projeto de segurança bem documentado e ter concluído uma auditoria de segurança independente. A Threema perdeu um ponto porque o seu código-fonte não estava aberto à revisão independente (ou seja, não era de código aberto, embora no final de 2020 as suas aplicações front-end fossem de código aberto, deixando apenas o seu componente de servidor de código fechado).[63]
Referências
[editar | editar código-fonte]- ↑ «Support – Threema». threema.ch (em inglês). Consultado em 10 de fevereiro de 2024
- ↑ Happich, Julien (23 de setembro de 2014). «Privacy gains traction with secure messaging apps». Electronic Engineering Times Europe. Consultado em 21 de dezembro de 2015
- ↑ «Cryptography Whitepaper» (PDF). Consultado em 30 de outubro de 2020
- ↑ «FAQ – Privacy Protection». Consultado em 30 de outubro de 2020
- ↑ «What is a Threema ID?». threema.ch
- ↑ «Will my address book data be sent to your servers?». threema.ch. Consultado em 2 de dezembro de 2014
- ↑ «What is a Threema ID? – Threema». threema.ch
- ↑ a b «What features does Threema offer?». threema.ch
- ↑ «Threema Web». Consultado em 30 de outubro de 2020
- ↑ «Threema FAQ». Consultado em 11 de dezembro de 2023
- ↑ «How can I send a file?». threema.ch
- ↑ Bordel, Stefan (12 de janeiro de 2015). «Threema integriert Umfrage-Funktion» [Threema integrates survey function]. com! – Das Computer-Magazin (em alemão). Consultado em 12 de outubro de 2015
- ↑ «Threema». Google Play Store. Consultado em 5 de julho de 2014
- ↑ Swiss Confederation. «Swiss company registry entry for Threema GmbH». zefix.ch. Consultado em 5 de julho de 2014. Arquivado do original em 7 de julho de 2014
- ↑ Jungfer, Martin (28 de maio de 2021). «Number of Threema users climbed to over 10 million». digitec.ch. Consultado em 10 de agosto de 2021
- ↑ «Threema's Success Story: From the Company's Founding to Today» (PDF). Consultado em 11 de maio de 2021
- ↑ «Messenger for companies and authorities: Threema offers an on-premise version». Market Research Telecast. 27 de julho de 2021. Consultado em 10 de agosto de 2021
- ↑ Schurter, Daniel (13 de dezembro de 2012). «Die Schweizer Antwort auf WhatsApp» [The Swiss answer to WhatsApp]. 20min.ch (em alemão). Consultado em 5 de julho de 2014
- ↑ «Threema Source Code on GitHub». GitHub
- ↑ «App Remote Protocol on GitHub». GitHub. 8 de maio de 2021
- ↑ «Big Update for Android». threema.ch
- ↑ a b Cimpanu, Catalin (11 de agosto de 2020). «Threema joins the ranks of E2EE chat apps that support encrypted video calls». ZDNet (em inglês). Consultado em 30 de outubro de 2020
- ↑ «Threema Cryptography Whitepaper» (PDF). threema.ch. 14 de setembro de 2017
- ↑ Zorz, Mirko (17 de setembro de 2014). «Secure mobile messaging with Threema». Help Net Security
- ↑ «How long do messages stay in queue for delivery?». threema.ch. Consultado em 20 de setembro de 2017
- ↑ «Threema Validation». threema.ch. Consultado em 20 de setembro de 2017. Arquivado do original em 25 de novembro de 2018
- ↑ «External Audit». threema.ch. Consultado em 20 de setembro de 2017
- ↑ «Security Review Threema: Security Statement» (PDF). threema.ch. 2 de novembro de 2015. Consultado em 30 de outubro de 2020
- ↑ Schirrmacher, Dennis (3 de novembro de 2015). «Threema-Audit abgeschlossen: "Ende-zu-Ende-Verschlüsselung ohne Schwächen"» [Threema Audit Completed: "End-to-End Encryption Without Weakness"]. Heise.de (em alemão). Consultado em 30 de outubro de 2020
- ↑ Metzler, Marco (28 de junho de 2015). «Kryptografie-App Threema: Schweizer sorgen für Privatsphäre» [Cryptography app Threema: Swiss ensure privacy]. Neue Zürcher Zeitung (em alemão). Consultado em 8 de outubro de 2015
- ↑ a b «Im Interview: Threema». Mailify (em alemão). 23 de julho de 2014. Consultado em 11 de outubro de 2015. Cópia arquivada em 2 de agosto de 2014
- ↑ a b Tanriverdi, Hakan. «Der Schlossherr». Der Freitag (em alemão). ISSN 0945-2095. Consultado em 11 de outubro de 2015
- ↑ Price, Rob (18 de junho de 2015). «Germany's most popular paid app is a secure messenger loved by millions — now it's taking on the US». Business Insider UK. Consultado em 11 de outubro de 2015
- ↑ Dillet, Romain (21 de fevereiro de 2014). «Bye Bye, WhatsApp: Germans Switch To Threema For Privacy Reasons». TechCrunch
- ↑ «Threema GmbH, Pfäffikon SZ». Shabex.ch. Consultado em 11 de outubro de 2015
- ↑ «iOS-Highlights: Die besten Apps des Jahres» [The best apps of the year]. Focus (em alemão). 9 de dezembro de 2014. Consultado em 1 de março de 2016
- ↑ Cimpanu, Catalin (4 de setembro de 2020). «Threema E2EE chat app to go 'fully open source' within months». ZDNet (em inglês). Consultado em 30 de outubro de 2020
- ↑ «WhatsApp-Konkurrenten verzeichnen starken Nutzeranstieg». Die Zeit (em alemão). 12 de janeiro de 2021. Consultado em 13 de janeiro de 2021
- ↑ Pladson, Kristie (18 de janeiro de 2021). «WhatsApp controversy highlights growing fears about data privacy». DW. Consultado em 19 de janeiro de 2021
- ↑ «Three Lessons from Threema: Analysis of a Secure Messenger». breakingthe3ma.app. Consultado em 10 de janeiro de 2023
- ↑ «The messenger for organizations». work.threema.ch
- ↑ «Pricing Threema Work»
- ↑ Iseli, Marc (28 de setembro de 2015). «US-Feldzug von Threema gerät ins Stocken» [US campaign of Threema is stalled]. Handelszeitung (em alemão). ISSN 1422-8971. Consultado em 12 de outubro de 2015
- ↑ «Threema GmbH». GitHub. Consultado em 20 de setembro de 2017
- ↑ «Threema Broadcast: Threema communication enters the next level». threema.ch (em inglês). Consultado em 10 de fevereiro de 2024
- ↑ «Threema Education: Framework Contract with educa.ch». 10 de setembro de 2020. Consultado em 25 de outubro de 2020
- ↑ «Threema OnPrem». Threema. Consultado em 10 de agosto de 2021
- ↑ «Reference Sheet Privacy and Security» (PDF). threema.ch. p. 2
- ↑ «Threema Cryptography Whitepaper» (PDF). threema.ch. p. 11
- ↑ «Will my address book data be sent to your servers?». threema.ch
- ↑ «How can I unlink my Threema ID from an email address or phone number?». threema.ch
- ↑ «Revoke your ID». threema.ch
- ↑ «Threema Cryptography Whitepaper» (PDF). threema.ch. p. 5
- ↑ «Are messages encrypted when they are stored on my device?». threema.ch
- ↑ «Transparency Report». threema.ch
- ↑ «Threema GmbH». ru (em russo). Consultado em 20 de setembro de 2017. Cópia arquivada em 20 de junho de 2017
- ↑ «Russia adds international messenger Threema to official registry». East-West Digital News. 16 de março de 2017. Consultado em 27 de janeiro de 2018
- ↑ Bannister, Adam (28 de maio de 2021). «Threema, the European rival to Signal, wins pivotal privacy battle in Swiss Court». The Daily Swig. Consultado em 10 de agosto de 2021
- ↑ «Swiss army backs home-grown IM service amid privacy concerns». AP NEWS (em inglês). 5 de janeiro de 2022. Consultado em 10 de janeiro de 2022
- ↑ «WhatsApp und Alternativen: Datenschutz im Test» [WhatsApp and alternatives: data protection tested]. Stiftung Warentest (em alemão). 26 de fevereiro de 2014. Consultado em 30 de outubro de 2020
- ↑ Heutger, Christian (13 de junho de 2014). «Die Ergebnisse unseres großen Messenger-Tests» [The results of our great messenger test]. PSW Group (em alemão). Consultado em 30 de outubro de 2020
- ↑ «Secure Messaging Scorecard. Which apps and tools actually keep your messages safe?». Electronic Frontier Foundation. 3 de novembro de 2015. Consultado em 30 de outubro de 2020. Cópia arquivada em 14 de abril de 2016