Vazamento de dados da AT&T revela falhas críticas no protocolo RCS
Na semana passada, um vazamento de dados da AT&T expôs os registros de chamadas telefônicas e mensagens de texto de todos os seus clientes, referente a um período de seis meses em 2022.
Este incidente trouxe à tona preocupações significativas sobre o protocolo Rich Communication Services (RCS), que está sendo adotado por diversas operadoras e terá suporte também no iPhone a partir do iOS 18.
O RCS é considerado por muitos como uma evolução do SMS, oferecendo suporte para anexos maiores de imagens e vídeos, além de funcionalidades como indicadores de digitação.
No entanto, uma das principais críticas ao RCS é a sua falta de criptografia de ponta a ponta (E2EE), o que deixa as comunicações vulneráveis a interceptações e vazamentos de dados.
Protocolo inseguro?
Enquanto o SMS e as chamadas telefônicas tradicionais já são conhecidos por não oferecerem qualquer tipo de criptografia, a expectativa é que novos protocolos, como o RCS, incluam E2EE desde o início.
A especificação atual do RCS não oferece nenhuma forma de criptografia para as mensagens, embora o Google tenha implementado uma solução proprietária (PDF) que funciona apenas entre usuários do aplicativo Mensagens do Android.
Especialistas em segurança criticam a adoção do RCS sem criptografia, argumentando que a segurança das comunicações deveria ser uma prioridade.
A falta de uma padronização aberta para a criptografia E2EE no RCS dificulta a proteção dos dados dos usuários. Além disso, governos e agências de segurança de diversos países preferem a ausência de criptografia para facilitar a vigilância e o monitoramento das comunicações.
A decisão da Apple de suportar o RCS no iOS 18 gerou debates acalorados.
Embora alguns argumentem que o RCS melhora a experiência do usuário em relação ao SMS, outros apontam que a falta de segurança é um problema grave.
A Apple sempre enfatizou a segurança e privacidade de seus serviços, como o iMessage e o FaceTime, ambos com E2EE, e a mudança de postura em relação ao RCS levanta questões sobre as pressões externas e compromissos com governos, especialmente em mercados como o chinês.
Até o WhatsApp é mais seguro que o RCS
O vazamento de dados da AT&T destaca a vulnerabilidade das comunicações sem criptografia e reforça a necessidade de protocolos que garantam a segurança dos usuários.
Plataformas de mensagens modernas, como iMessage, Signal e WhatsApp, são citadas como exemplos de soluções que oferecem E2EE desde a concepção, proporcionando uma camada adicional de proteção contra violações de dados.
Se chegamos ao ponto de dizer que até um aplicativo da Meta (no caso o WhatsApp) protege mais a privacidade dos usuários do que o RCS, então dá para ter uma ideia de como a segurança e a privacidade dos usuários estão sendo negligenciadas nas implementações atuais do RCS.