Voltar ao Blog
privacidadesegurançacriptografiaverificaçãocódigo abertoauditorias de segurança

Você foi enganado: Como identificar quais apps "privados" são balela

Snugg Team|11 de janeiro de 2026|10 min de leitura
Você foi enganado: Como identificar quais apps "privados" são balela


A mentira que acreditei por três anos

Em 2020, mudei para o Zoom no trabalho porque eles diziam ter "criptografia de ponta a ponta".

Eu acreditei neles.

Eu tinha chamadas sensíveis com clientes no Zoom. Reuniões de diretoria. Discussões confidenciais. Tudo "criptografado", certo?

Errado.

Pesquisadores de segurança leram o código do Zoom e provaram que eles mentiam. O Zoom podia ver e ouvir tudo.

O Zoom pediu desculpas (mais ou menos), mudou seu marketing e seguiu em frente. Mas aqui está o que realmente me incomodou:

Eu não tinha como saber que eles estavam mentindo até que outra pessoa os descobrisse.

E foi quando percebi: Eu estava confiando em empresas que mentiam na minha cara, e eu não tinha ideia de como perceber a diferença.

Soa familiar?

Todo app diz ser "privado"

Abra o site de qualquer app. O que eles dizem?

  • "Criptografia de nível militar"

  • "Segurança de nível bancário"

  • "Levamos a privacidade a sério"

  • "Seus dados estão protegidos"

  • "Criptografia de ponta a ponta"


Aqui está o problema: Todo mundo diz isso. Até os apps que estão mentindo.

Os mentirosos

Zoom: Disse "criptografia de ponta a ponta" → Pesquisadores provaram que era falso

TikTok: Disse que não compartilha dados com a China → Compartilhava sim

Telegram: Diz "segurança de nível militar" → Especialistas em segurança discordam

LinkedIn: Disse que não treina IA com seus dados → Treina sim

Facebook: Diz que se importa com privacidade → LOL

O padrão? Alegações de marketing não significam nada.

Palavras são baratas. Evidências são tudo.

Você não precisa ser um expert em tecnologia

Aqui está o que aprendi após o incidente do Zoom:

Você não precisa entender criptografia para identificar mentirosos.

Você só precisa saber quais perguntas fazer.

Pense nisso como comprar um carro usado:

  • Você não precisa ser mecânico

  • Mas deve saber verificar se o hodômetro foi adulterado

  • E se a documentação está em ordem

  • E se há histórico de manutenção


O mesmo vale para alegações de privacidade. Você não precisa ser criptógrafo—só precisa conhecer os sinais de alerta.

Deixe-me mostrar.

Sinal de alerta #1: Termos de marketing vagos

"Criptografia de nível militar"

O que eles querem que você pense: "Uau, os militares usam isso. Deve ser super seguro!"

O que realmente significa: Nada específico.

Os militares usam vários padrões de criptografia. Alguns excelentes, alguns desatualizados, alguns classificados. "Nível militar" não diz qual.

Na real: Quando alguém diz "nível militar" mas não conta o algoritmo real (como "AES-256" ou "ChaCha20"), provavelmente estão enrolando.

"Segurança de nível bancário"

O que eles querem que você pense: "Bancos são seguros, então isso deve ser seguro!"

O que realmente significa: Também sem significado.

Alguns bancos ainda usam códigos SMS (super inseguros). Alguns usam tokens de hardware (seguros). "Nível bancário" pode significar qualquer um.

Na real: Bancos são hackeados o tempo todo. Não é o flex que eles pensam.

"Levamos a privacidade a sério"

O que eles querem que você pense: "Eles se importam com minha privacidade!"

O que realmente significa: Literalmente nada.

Toda plataforma diz isso. Até o Facebook diz isso.

A Meta ganhou $110 bilhões no ano passado com publicidade. Esse dinheiro veio de violar sua privacidade. Mas ainda dizem que "levam a sério".

Na real: Se eles não explicam COMO protegem a privacidade com detalhes técnicos específicos, estão apenas falando.

Sinal de alerta #2: "Criptografado" sem dizer "de ponta a ponta"

Este é enorme.

Existem três tipos de criptografia:

1. Criptografia de transporte (HTTPS)

  • Protege dados enquanto viajam para seus servidores
  • A empresa ainda pode ler tudo
  • Todo site tem isso (até sites de golpe)

2. Criptografia em repouso

  • Os dados são criptografados quando armazenados em seus servidores
  • A empresa ainda pode descriptografar e ler
  • Só protege contra hackers

3. Criptografia de ponta a ponta (E2E)

  • Apenas você e o destinatário podem ler
  • A empresa NÃO PODE ler (matematicamente impossível)
  • Esta é a única que realmente protege a privacidade
Aqui está o truque que as plataformas usam:

Eles dizem "Criptografamos seus dados" (tecnicamente verdade—HTTPS)
Mas não dizem "NÃO PODEMOS ler seus dados" (porque podem)

Exemplos reais:

  • Discord: Diz "criptografado" → Eles podem ler tudo

  • Telegram: Diz "criptografado" → Chats normais não são E2E

  • Facebook Messenger: Diz "criptografado" → Chats padrão não são E2E

  • Signal: Diz "criptografia de ponta a ponta" → Eles realmente não podem ler suas mensagens

  • WhatsApp: Diz "criptografia de ponta a ponta" → O conteúdo da mensagem é protegido (mas a Meta coleta todos os metadados)


A pergunta a fazer: "É criptografado de ponta a ponta, ou a empresa pode ler meus dados?"

Sinal de alerta #3: Criptografia personalizada

Profissionais de segurança têm um ditado:

"Qualquer um pode criar criptografia tão forte que ELE não consegue quebrar. O truque é criar criptografia tão forte que MAIS NINGUÉM consiga quebrar também."

Tradução: Não invente sua própria criptografia. Use o que especialistas testaram.

Algoritmos de criptografia padrão (usados por apps realmente seguros):

  • AES-256

  • ChaCha20

  • Curve25519

  • RSA-4096


Estes foram testados por milhares de especialistas durante décadas. Sabemos que funcionam.

Criptografia personalizada = Sinal de alerta

Por quê? Porque a empresa é:
1. Arrogante (acha que é mais inteligente que todo criptógrafo do mundo)
2. Incompetente (não entende por que isso é perigoso)
3. Mentirosa (criptografia personalizada é mais fácil de ter backdoors)

Exemplo real: Telegram

Usa criptografia personalizada chamada "MTProto". Especialistas em segurança encontraram múltiplos problemas com ela.

Enquanto isso, o Signal usa algoritmos padrão que todo especialista confia.

Em qual você confiaria?

Sinal verde #1: Código aberto

Esta é a maior diferença entre apps confiáveis e suspeitos.

Código fechado: "Confie em nós, é seguro"
Código aberto: "Aqui está nosso código. Verifique você mesmo."

Por que isso importa

Lembra da mentira do Zoom sobre criptografia? Pesquisadores de segurança só descobriram porque fizeram engenharia reversa no código do Zoom.

Se o Zoom fosse código aberto, a mentira teria sido descoberta imediatamente.

Exemplos reais:

  • Signal: Totalmente código aberto no GitHub → Qualquer um pode verificar suas alegações

  • WhatsApp: Código fechado → Você tem que confiar na Meta (lol)

  • Snugg: Será totalmente código aberto no lançamento → Verifique tudo você mesmo


O teste: Vá ao site deles. Procure um link para "GitHub" ou "Código aberto".

Se eles dizem ser privados mas não mostram o código, isso é muito suspeito.

Sinal verde #2: Auditorias de segurança independentes

Plataformas confiáveis pagam empresas de segurança externas para auditar seu código e publicar os resultados.

O que procurar:

  • Auditoria de uma firma real (Trail of Bits, Cure53, NCC Group)

  • A auditoria é recente (dentro de 2 anos)

  • A auditoria é pública (você pode ler)

  • Eles corrigiram os problemas encontrados


Sinais de alerta:
  • "Fomos auditados" mas não publicam o relatório

  • A auditoria tem mais de 5 anos

  • Não conseguem nomear a firma de auditoria

  • "Nenhum problema encontrado" (toda auditoria real encontra algo)


Exemplos reais:
  • Signal: Múltiplas auditorias públicas, todas publicadas, problemas corrigidos

  • Telegram: Oferece recompensas mas nenhuma auditoria pública abrangente

  • Snugg: Auditoria agendada com Trail of Bits antes do lançamento


O teste: Pesquise "[Nome do app] security audit" e veja se você pode realmente ler.

Sinal verde #3: Eles são honestos sobre limitações

Sinal de alerta: "Somos 100% seguros contra tudo!"
Sinal verde: "Isto é o que protegemos E o que não protegemos."

Nenhuma segurança é perfeita. Empresas honestas admitem isso.

Exemplo: A honestidade do Signal

O que o Signal protege:

  • Conteúdo de mensagens (criptografado)

  • Chamadas (criptografadas)

  • Alguns metadados (sealed sender)


O que o Signal NÃO protege:
  • Seu telefone se alguém roubá-lo

  • Capturas de tela

  • Se você encaminhar mensagens para outra pessoa


Eles são diretos sobre isso. Isso é confiável.

Compare com apps suspeitos:

"Segurança de nível militar!" (O que isso significa?)
"100% seguro!" (Impossível)
"Privacidade completa!" (Não é assim que funciona)

O teste: Eles explicam limitações, ou prometem perfeição?

A checklist de verificação simples

Você não precisa entender código. Apenas faça estas perguntas:

1. O código é público?

  • Vá ao site deles
  • Procure link para "GitHub" ou "Código aberto"
  • Se alegam privacidade mas não mostram código → suspeito

2. Foi auditado?

  • Google "[Nome do app] security audit"
  • Você pode realmente ler o relatório de auditoria?
  • Se a auditoria é secreta ou não existe → suspeito

3. É criptografia de ponta a ponta?

  • Diz especificamente "de ponta a ponta"?
  • Ou apenas "criptografado" (que não significa nada)?
  • Se vago sobre E2E → suspeito

4. Qual criptografia eles usam?

  • Eles nomeiam algoritmos específicos?
  • Ou apenas dizem "nível militar"?
  • Se não nomeiam o algoritmo → suspeito

5. Especialistas em segurança confiam nele?

  • Procure opiniões no Reddit r/privacy
  • Veja discussões no HackerNews
  • Se especialistas são céticos → suspeito

6. Como eles ganham dinheiro?

  • Assinatura? (Bom—incentivos alinhados)
  • Publicidade? (Ruim—precisam dos seus dados)
  • "Grátis" sem explicação? (Muito ruim—vendendo seus dados)
  • Se modelo de negócio depende de dados → não confiável
Pontuação:
  • 5-6 sim: Provavelmente confiável (ainda verifique você mesmo)
  • 3-4 sim: Prossiga com extrema cautela
  • 0-2 sim: Não confie neste app

Exemplos reais: Vamos verificar alguns apps

Signal — CONFIÁVEL

1. Código aberto? Sim (github.com/signalapp)
2. Auditado? Múltiplas auditorias públicas
3. E2E criptografado? Sim, tudo
4. Criptografia específica? Signal Protocol, totalmente documentado
5. Especialistas confiam? Sim, universalmente
6. Modelo de negócio? Doações sem fins lucrativos

Veredito: Alegações verificadas. Signal é legítimo.

WhatsApp — MISTO

1. Código aberto? Não (código fechado)
2. Auditado? Usa Signal Protocol (auditado) mas app é fechado
3. E2E criptografado? Sim, mas coleta extensiva de metadados
4. Criptografia específica? Usa Signal Protocol
5. Especialistas confiam? Criptografia sim, propriedade da Meta não
6. Modelo de negócio? Publicidade da Meta

Veredito: As mensagens são criptografadas, mas a Meta coleta todo o resto sobre você. No máximo, meio confiável.

Telegram — SUSPEITO

1. Código aberto? Clientes sim, servidor não
2. Auditado? Programa de recompensas mas preocupações permanecem
3. E2E criptografado? Apenas "Chats Secretos" (não padrão)
4. Criptografia específica? MTProto personalizado (especialistas céticos)
5. Especialistas confiam? Misto a negativo
6. Modelo de negócio? Não está claro (como ganham dinheiro?)

Veredito: A maioria dos chats não é E2E criptografada. Criptografia personalizada é questionável. Modelo de negócio não está claro. Não confiável.

Zoom — MENTIROSO (Histórico)

1. Código aberto? Não
2. Auditado? Não quando fizeram a alegação
3. E2E criptografado? Disseram sim, pesquisadores provaram que não
4. Criptografia específica? Alegações vagas
5. Especialistas confiam? Pegaram mentindo
6. Modelo de negócio? Freemium/Empresas

Veredito: Literalmente mentiram sobre criptografia E2E. Exemplo perfeito de por que verificação importa.

Status atual: Agora oferece E2E para algumas funcionalidades, mas a confiança acabou.

"Mas eu não sou técnico..."

Boa notícia: Você não precisa ser.

Aqui está a versão de três perguntas:

Pergunta 1: É código aberto?

  • Procure link do GitHub no site deles

  • Sim ou Não


Pergunta 2: Foi auditado?
  • Google "[Nome do app] security audit"

  • Você consegue encontrar e ler?

  • Sim ou Não


Pergunta 3: Especialistas em segurança no Reddit/HackerNews confiam nele?
  • Procure discussões no r/privacy

  • Leia o que especialistas dizem

  • Confiável ou Cético


Se todos três são SIM → Provavelmente ok
Se algum é NÃO → Seja cético

É isso. Você acabou de aprender a identificar a maioria das mentiras sobre privacidade.

E os apps "novos" que ainda não foram auditados?

Pergunta justa. Nem todo app é antigo o suficiente para ter auditorias públicas.

Sinais verdes para apps novos:

  • Código aberto (para que especialistas POSSAM auditar)

  • Usam criptografia padrão (não personalizada)

  • Têm auditoria agendada/em andamento

  • São transparentes sobre não terem sido auditados

  • Equipe inclui especialistas em segurança


Sinais de alerta para apps novos:
  • Código fechado E não auditado

  • Criptografia personalizada

  • Alegam segurança perfeita

  • Não se comprometem com auditorias futuras

  • Equipe anônima


Exemplo: Snugg (Somos nós)

Somos novos. Como você deveria nos avaliar?

  • Será código aberto no lançamento (verifique o código)

  • Usa criptografia padrão (TweetNaCl.js: XSalsa20-Poly1305)

  • Auditoria de segurança agendada com Trail of Bits antes do lançamento

  • Modelo de ameaças transparente publicado

  • Equipe inclui consultores de segurança


Nossa opinião: Não confie em nós. Quando lançarmos, verifique tudo você mesmo. Esse é literalmente o ponto deste artigo.

A conclusão: Você estava confiando em mentirosos

Isso é o que aprendi após o incidente do Zoom:

Empresas mentem sobre privacidade o tempo todo. A maioria dos usuários nunca descobre.

Mas você não precisa ser um desses usuários.

A versão simples:

1. Procure código aberto → Especialistas podem verificar?
2. Procure auditorias públicas → Foi verificado?
3. Procure detalhes específicos → Ou apenas marketing?
4. Pergunte o que especialistas pensam → Veja Reddit r/privacy
5. Verifique o modelo de negócio → Eles precisam dos seus dados para ganhar dinheiro?

Se uma plataforma pontua bem nisso, provavelmente é confiável.

Se não, assuma que estão mentindo até prova em contrário.

Por que isso importa

Você provavelmente usou apps por anos que pensou serem privados.

Talvez sejam. Talvez não.

A pergunta é: Como você saberia?

Até agora, você não saberia. Você teria que confiar neles.

Mas confiar sem verificar é como conseguimos as mentiras do Zoom, o compartilhamento de dados do TikTok, e todo o modelo de negócio do Facebook.

Você merece melhor que "confie em nós."

Você merece apps que pode verificar.

O que o Snugg faz diferente

Construímos o Snugg para ser verificável desde o primeiro dia.

Com o que nos comprometemos:

  • Código aberto → Verifique nosso código no GitHub

  • Auditorias públicas → Leia os relatórios de auditoria

  • Criptografia padrão → Sem criptografia personalizada

  • Limitações honestas → Diremos o que não protegemos

  • Modelo de negócio transparente → Assinaturas, não vigilância


O que você deve fazer:

Quando lançarmos, não confie em nós. Verifique-nos.

Use este artigo. Verifique nosso código. Leia nossa auditoria. Pergunte a especialistas em segurança o que pensam.

Se nossas alegações não corresponderem à realidade, nos denuncie.

É assim que deveria funcionar.

Recursos para aprender mais

Quer verificar apps você mesmo?

Comunidades onde especialistas em segurança discutem apps:

  • r/privacy (Reddit)

  • news.ycombinator.com (Hacker News)

  • @privacyguides@mastodon.social (Mastodon)


Guias de privacidade:
  • EFF's Surveillance Self-Defense: ssd.eff.org

  • Security Planner: securityplanner.org


Firmas de auditoria para procurar:
  • Trail of Bits: trailofbits.com

  • NCC Group: nccgroup.com

  • Cure53: cure53.de


Se um app diz que foi auditado por uma dessas firmas, geralmente você pode confiar nisso (desde que o relatório seja público).

Cartão de referência rápida

Imprima isso ou tire um screenshot:

Sinais de alerta (Não confiar)

  • "Nível militar" sem especificações
  • "Segurança de nível bancário" sem detalhes
  • "Criptografado" mas não "de ponta a ponta"
  • Criptografia personalizada
  • Código fechado
  • Sem auditorias públicas
  • Modelo de negócio requer seus dados
  • Detalhes técnicos vagos ou inexistentes

Sinais verdes (Pode ser confiável)

  • Código aberto
  • Auditorias de segurança públicas
  • Diz especificamente "criptografia de ponta a ponta"
  • Nomeia algoritmos específicos
  • Honesto sobre limitações
  • Especialistas em segurança confiam
  • Modelo de negócio não precisa dos seus dados
  • Equipe transparente
Regra geral: Se eles não podem (ou não querem) provar, não acredite.

Uma última coisa

Depois do Zoom, mudei como avalio apps.

Eu antes: "Eles disseram que é criptografado, então deve ser seguro."
Eu agora: "Me mostre o código, me mostre a auditoria, ou não acredito em você."

Não é cinismo. É realismo.

Empresas provaram que vão mentir sobre privacidade para ganhar usuários.

A única defesa é verificação.

E agora você sabe como.

Experimente o Snugg

Estamos construindo uma plataforma que você pode realmente verificar.

O que nos torna diferentes:

  • Código aberto (verifique o código você mesmo)

  • Auditado independentemente (leia os relatórios)

  • Criptografia de ponta a ponta (tudo, não só mensagens)

  • Sem anúncios (modelo de assinatura)

  • Metadados mínimos (não podemos criar seu perfil)


Mas não confie em nós. Verifique-nos quando lançarmos.

Entre na lista de espera →

Perguntas?

"Isso não é paranoia?"

É paranoia não confiar em empresas que provaram que mentem? Zoom mentiu. TikTok mentiu. Facebook mente constantemente. Isso é realismo, não paranoia.

"E se eu só quiser usar o que todo mundo usa?"

Tudo bem. Mas pelo menos você saberá o que está abrindo mão. Consentimento informado importa.

"Auditorias podem ser falsificadas?"

Firmas respeitáveis (Trail of Bits, NCC Group, Cure53) apostam todo seu negócio em auditorias honestas. Mentir as destruiria. Então, embora tecnicamente possível, é extremamente improvável.

"E os apps que não podem ser código aberto?"

Apps de banco, por exemplo, frequentemente não podem abrir seu código. Tudo bem—mas então é melhor que tenham múltiplas auditorias, conformidade regulatória e relatórios de transparência. Mais escrutínio para código fechado.

Compartilhe isso se você conhece alguém que ainda pensa que "criptografado" automaticamente significa "privado".

Sobre o Snugg: Estamos construindo uma plataforma social que você pode realmente verificar. Código aberto, auditado, criptografia de ponta a ponta. Sem vigilância, sem mentiras.

Saiba mais: snugg.social
Perguntas: hello@snugg.social

Sobre a Autora - Sam Bartlett

Sou inspetora de iates no Caribe e fundadora do Snugg. Depois de 15 anos observando as plataformas de redes sociais priorizarem anúncios em vez de conexões genuínas, decidi construir a alternativa. Anteriormente, construí e administrei um negócio bem-sucedido de férias à vela, liderando os resultados de pesquisa do Google por anos até que as mudanças no algoritmo destruíram o alcance orgânico. Não sou desenvolvedora nem ativista de privacidade – apenas alguém que se cansou de plataformas que esqueceram seu propósito. Quando não estou construindo o Snugg ou inspecionando iates, desejo que todos tenham mais tempo para velejar em lugares bonitos (ou para o que lhes traga alegria).

Conecte-se comigo:

Compartilhar esta publicação

Pronto para privacidade real?

Junte-se à nossa lista de espera e seja um dos primeiros a experimentar uma plataforma social verdadeiramente privada.

Entrar na lista de espera