- Uma foto do celular de Mike Waltz, integrante do governo Trump, revelou o uso de um app que parece ser um Signal não oficial para arquivamento de mensagens
- Waltz foi Conselheiro de Segurança Nacional dos EUA até quinta-feira, aumentando as dúvidas sobre que nível de informação autoridades públicas discutem no Signal
- A foto da Reuters mostra Waltz verificando o celular durante uma reunião de gabinete na Casa Branca presidida por Donald Trump
- A tela parece mostrar mensagens de altos integrantes do governo, como JD Vance, Tulsi Gabbard e Marco Rubio
- Na parte inferior da tela, há um texto que parece ser a mensagem de verificação de PIN do Signal comum, chamando atenção tanto para a prevenção de sequestro de contas quanto para a forma de arquivamento das mensagens
Uso de Signal não oficial revelado por foto
- Uma foto do celular de Mike Waltz capturou o uso de um app que parece ser uma versão não oficial do Signal
- Essa versão é conhecida como um app projetado para arquivamento de mensagens
- Waltz foi National Security Advisor dos EUA até quinta-feira
Contexto da foto da Reuters
- A foto divulgada pela Reuters mostra Waltz verificando o celular durante uma reunião de gabinete realizada por Donald Trump na Casa Branca
- A tela mostra mensagens de vários altos integrantes do governo
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Mensagem de PIN do Signal e contexto de segurança
- Na parte inferior da tela do celular de Waltz, há um texto que parece ser a mensagem de verificação de PIN do Signal comum
- A mensagem de verificação de PIN do Signal pode aparecer para incentivar o usuário a se lembrar do PIN
- O PIN pode ser usado para impedir que outra pessoa tome controle da conta
Questões práticas em aberto
- Se a versão não oficial do Signal é usada para arquivamento de mensagens, a questão central passa a ser que nível de informação autoridades públicas discutem nesse app
- Também permanece como ponto a ser verificado como os dados arquivados são tratados em termos de segurança
1 comentários
Opiniões do Hacker News
https://archive.ph/oXYXe
Órgãos governamentais já pagaram antes por versões de mensageiros criptografados com recurso de arquivamento. Em 2021, a CBP pagou US$ 700 mil à Wickr.
Isso parece exatamente o tipo de uso que faria sentido para apoiar o Signal. Grandes empresas ou órgãos do governo poderiam pagar diretamente aos desenvolvedores do app por um fork personalizado, então não entendo por que a TeleMessage recebe dinheiro. Será que a Signal Foundation não facilita a implementação de forks pagos?
“TM SGNL” parece se referir a um software de uma empresa chamada TeleMessage. A empresa cria clones de apps populares de mensagens e adiciona recursos de arquivamento a cada um deles.
Não vejo qual é o sentido de usar Signal se você vai permitir que uma empresa estrangeira intercepte as comunicações. Talvez eles quisessem a UX de um produto comercial em vez da experiência de usuário desajeitada de um app aprovado pelo governo, mas alguém sabe quais eram as alternativas?
O Signal é aprovado para uso governamental, mas não para informações não públicas do Departamento de Defesa. Você usa o Signal para algo como “venha ao SCIF, lá a gente fala dos detalhes”, e os detalhes devem ser discutidos em um ambiente seguro.
A CISA recomendou, em vez disso, o uso de serviços com criptografia de ponta a ponta, citando especificamente o Signal.
https://investigations.cooley.com/2025/01/15/federal-law-enf...
No fim, o Signal é apenas mais um app no celular. Se for usado para comunicações secretas, esse celular deve ter o mínimo possível de software, ou nenhum, e ser protegido por todos os meios disponíveis, como senha e criptografia.
Fico pensando se vale a pena aceitar uma vulnerabilidade de segurança só para arquivar. De qualquer forma, bastaria pedir a Israel e ao Pegasus que eles provavelmente entregariam as cópias arquivadas.
Olhando alguns detalhes: a TeleMessage era, ou ainda é, uma empresa israelense [1], mas foi adquirida no ano passado pela empresa americana Smarsh [2], e a própria Smarsh é subsidiária da empresa americana K1 Investment Management. Não sei se a empresa mudou de país.
Talvez não tenha relação direta, mas os termos de serviço também mostram uma cláusula separada sobre mensagens na China e parecem incluir divulgação ao governo chinês. Não está claro como o app funciona. Ele é divulgado como um fork do cliente Signal e parece fazer upload de tudo para servidores remotos; nesse caso, é claro que a criptografia de ponta a ponta é quebrada, a menos que se considere o arquivo como uma das pontas receptoras e se suponha que essa conexão seja segura. A interface também parece ser promovida como igual à do Signal.
Só que os clientes Signal para iOS e Android são ambos AGPLv3. Não encontrei indícios de que o cliente da TeleMessage não seja software proprietário. Então, pela AGPLv3, eles entregam o software e o código-fonte apenas a clientes pagantes, e esses clientes podem redistribuí-los? Reimplementaram totalmente o cliente? Ou é um fork proprietário ilegal? A primeira hipótese parece pouco provável, e as duas últimas são bem agourentas do ponto de vista da segurança do app.
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Pelo menos a GPLv2 costumava ser descrita como favorável às empresas nesse sentido: modificações “privadas” continuam privadas, e funcionários não contam como distribuição externa. Não sei bem como fica com a AGPL.
Trabalhei no passado em uma empresa que vendia soluções de software sob medida usando software GPL para clientes ligados ao setor militar, provavelmente o DOD. Por mais de 10 anos ninguém pediu o código, até que alguns anos atrás alguém finalmente solicitou. Acho que queriam avaliá-lo, mas como aquilo era usado como parte central de várias operações, dar um fork teria dado bastante trabalho. Havia muitas partes móveis.
Enquanto ninguém tiver entrado em contato com um servidor TM SGNL e depois pedido o código-fonte tendo o pedido recusado, não é ilegal.
O que é realmente meio assustador é que a Global Relay engole tudo via SMTP. Não confirmei se eles configuraram DNSSEC ou MTA-STS, mas, pelo modo como a Global Relay opera, não parece provável. Um proxy bem posicionado ou envenenamento de DNS já poderia sugar uma quantidade considerável de e-mails sensíveis enviados para a Global Relay.
O app parece ser isto aqui:
https://www.telemessage.com/how-to-install-and-register-sign...
Estou realmente curioso para saber o que significa a mensagem que JD enviou dizendo que “recebi confirmação da outra parte de que foi desligado”.
Espera aí, o que eles estão usando é um clone do Signal operado por oficiais de inteligência israelenses?
Essa parte parece ainda não ter sido devidamente divulgada. Se você procurar o endereço da empresa no Google Maps, na verdade aparece uma empresa chamada “Cyberint”, o que parece muito ruim.
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Pior ainda: olhando a apresentação da equipe no site da empresa, ela está cheia de pessoas que parecem ser “ex”-oficiais de inteligência israelenses, incluindo o CEO.
https://www.telemessage.com/team/
Isso parece ser um caso muito maior do que a história conhecida até agora. Algumas ordens de grandeza maior que o Signalgate original. A implicação aqui é que oficiais de inteligência israelenses podem ter tido o melhor acesso possível do mundo neste momento: um feed em tempo real de todas as conversas em que participa o assessor de Segurança Nacional dos EUA.