As suas mensagens online estão seguras?

Novo estudo sobre uso de aplicações de mensagens mostra que a encriptação é fácil, mas a autenticação é difícil. O estudo demonstrou que os utilizadores se colocam em risco divulgando dados críticos e não autenticam o destinatário das suas mensagens.

Uso de aplicações de mensagens
Uso de aplicações de mensagens. Foto: BYU/Nate Edwards

Investigadores da Universidade Brigham Young descobriram que a maioria dos utilizadores de populares aplicações de mensagens como o Facebook Messenger, What’sApp Messenger e Viber Messenger ficam expostos a fraude ou a outros malefícios por parte de hackers, por não saberem ou não darem importância às opções de segurança.

Elham Vaziripour, investigador da Universidade Brigham Young, que liderou o estudo, referiu que o objetivo foi “entender como os utilizadores estão a proteger sua privacidade”. A conclusão do estudo aponta para uma resposta curta, ou seja, “geralmente não protegem a sua privacidade”.

Os investigadores esclarecem que “mesmo que o What’sApp e o Viber façam, por configuração básica, a encriptação, todas as três aplicações de mensagens também exigem, que seja feito o procedimento de autenticação, para garantir uma verdadeira segurança.

A maioria dos utilizadores desconhece o processo de autenticação e sua importância, e assim, “é possível que um terceiro mal-intencionado ou alguém do meio em que os utilizadores estão inseridos possa espiar as conversas”, referiu Elham Vaziripour.

A autenticação permite que os utilizadores confirmem a identidade do parceiro da conversação garantindo que nenhuma outra pessoa, mesmo da empresa que fornece a aplicação das mensagens, as possa intercetar.

Numa primeira fase os participantes no estudo foram convidados a partilhar um número de cartão de crédito com outro participante. Os participantes foram avisados ​​sobre potenciais ameaças e encorajados a garantir que suas mensagens fossem confidenciais. No entanto, apenas 14% dos utilizadores conseguiram autenticar com sucesso o destinatário. Outros optaram por medidas de segurança ad hoc, como pedir aos seus parceiros detalhes sobre uma experiência compartilhada.

Na segunda fase, os participantes foram novamente convidados a partilhar um número de cartão de crédito, mas neste caso os investigadores enfatizaram a importância da de autenticação. Com essa solicitação, 79% dos utilizadores conseguiram autenticar com sucesso o outro parceiro.

Apesar de uma percentagem elevada de autenticações, os investigadores descobriram outro obstáculo significativo: os participantes demoraram em média 11 minutos para autenticar seus parceiros.

Daniel Zappala, outro investigator envolvido no estudo, referiu que “as pessoas procederam à autenticação mas, ainda que a maioria das pessoas o tenha feito, o processo não foi simples, as pessoas ficaram frustradas e demoraram muito tempo”.

Como a maioria das pessoas não experimenta diariamente problemas de segurança significativos, os investigadores concordam que é difícil elaborar uma situação que as leve a investir tempo e a fazer esforço para entenderem e usarem os recursos de segurança que as aplicações oferecem. Mas dado que há sempre um risco quando se utilizam comunicações online, Kent Seamons, outro dos investigadores, acrescentou: “queremos tornar muito mais fácil a autenticação e reduzir esse tempo”.

Para Elham Vaziripour o objetivo é “realizar a ‘cerimónia’ de autenticação nos ‘bastidores’ para automaticamente reduzir o esforço dos utilizadores, não exigindo destes uma formação para o fazer”.

O estudo agora divulgado é uma extensão do trabalho sobre utilização de segurança executado pelos investigadores Kent Seamons e Daniel Zappala, financiados em mais de um milhão de dólares pela National Science Foundation e pelo Department of Homeland Security.

Kent Seamons referiu que “os investigadores de segurança geralmente criam sistemas sem descobrirem o que as pessoas precisam e querem”. No caso dos laboratórios de Kent Seamons e de Daniel Zappala “o objetivo é projetar tecnologia que seja simples e útil para que qualquer pessoa a possa usar”.