Em sua busca para transformar um aplicativo simples e funcional do Twitter em X, o aplicativo de tudo que não faz nada muito bem, Elon Musk lançou chamadas de áudio e vídeo no X na semana passada — e esse novo recurso está ativado por padrão, vaza seu endereço IP para qualquer pessoa com quem você conversa, e é incrivelmente confuso descobrir como limitar quem pode ligar para você.
Em uma postagem na quarta-feira, a conta oficial de notícias de X anunciou o novo recurso: “chamadas de áudio e vídeo agora estão disponíveis para todos no X! para quem você vai ligar primeiro? X escreveu.
Analisamos a página oficial da central de ajuda do X e executamos testes do recurso para analisar como funciona o recurso de chamada e entender os riscos associados a ele.
O endereço IP de uma pessoa não é extremamente sensível, mas estes identificadores online podem ser usados para inferir a localização e podem ser ligados à actividade online de uma pessoa, o que pode ser perigoso para utilizadores de alto risco.
Em primeiro lugar, o recurso de chamadas de áudio e vídeo está dentro da parte Mensagens do aplicativo X, onde agora aparece um ícone de telefone no canto superior direito, tanto no iOS quanto no Android.
A chamada está habilitada por padrão nos aplicativos X. A ressalva é que você só pode fazer e receber chamadas no aplicativo do X, e ainda não no seu navegador.
Por padrão, as chamadas são ponto a ponto, o que significa que as duas pessoas em uma chamada compartilham os endereços IP uma da outra porque a chamada se conecta diretamente aos seus dispositivos. Isso acontece intencionalmente na maioria dos aplicativos de mensagens e chamadas, como FaceTime, Facebook Messenger, Telegram, Signal e WhatsApp. como informamos em novembro.
Em sua central de ajuda oficialX diz que as chamadas são roteadas ponto a ponto entre usuários de uma forma que os endereços IP “podem ser visíveis para o outro”.
Se quiser ocultar seu endereço IP, você pode ativar o botão “Privacidade aprimorada de chamadas” nas configurações de mensagem do X. Ao ativar esta configuração, X diz que a chamada “será retransmitida através da infraestrutura X, e o endereço IP de qualquer parte que tenha esta configuração habilitada será mascarado”.
X não menciona criptografia na página oficial da central de ajuda, então as chamadas provavelmente não são criptografadas de ponta a ponta, permitindo potencialmente que o Twitter ouça as conversas. Aplicativos criptografados de ponta a ponta, Signal ou WhatsApp — impedem que qualquer pessoa que não seja o chamador e o destinatário ouça, incluindo WhatsApp e Signal.
Perguntamos ao e-mail de imprensa de X se existe criptografia de ponta a ponta. A única resposta que obtivemos foi: “Ocupado agora, volte mais tarde”, a resposta automática padrão de X às perguntas da mídia. Também enviamos um e-mail ao porta-voz do X, Joe Benarroch, mas não recebemos resposta.
Devido a esses riscos de privacidade, recomendamos desligar completamente o recurso de chamada.
Caso você queira usar esse recurso de chamada, é importante entender quem pode ligar para você e para quem você pode ligar – e dependendo de suas configurações, pode ficar muito confuso e complicado.
A configuração padrão (como você pode ver acima) é “Pessoas que você segue”, mas você pode optar por alterá-la para “Pessoas em sua agenda de endereços”, se você compartilhou seus contatos com X; “Usuários verificados”, que permitiriam que qualquer pessoa que pagasse por X ligasse para você; ou todos, se você gostaria de receber chamadas de spam de qualquer aleatório.
O TechCrunch decidiu testar vários cenários diferentes com duas contas X: uma conta de teste recém-criada e uma conta real de longa data. Usando a ferramenta de análise de rede de código aberto Burp Suite, pudemos ver o tráfego de rede entrando e saindo do aplicativo X.
Aqui estão os resultados (no momento da escrita):
- Quando nenhuma conta segue uma à outra, nenhuma conta vê o ícone do telefone e, portanto, nenhuma delas pode ligar.
- Quando a conta de teste envia um DM para a conta real, a mensagem é recebida, mas nenhuma das contas vê o ícone do telefone.
- Quando a conta real aceita o DM, a conta de teste pode então ligar para a conta real. E se ninguém atender, apenas o IP do chamador da conta de teste será exposto.
- Quando a conta de teste inicia uma chamada e a conta real atende (o que expõe o endereço IP da conta real – portanto, ambos os conjuntos de endereços IP), a conta de teste não pode retornar a chamada porque a conta de teste está configurada para permitir chamadas recebidas para “seguir” apenas.
- Quando a conta real segue a conta de teste, ambas podem entrar em contato.
A análise da rede mostra que X construiu o recurso de chamada usando o Periscope, o serviço e aplicativo de transmissão ao vivo do Twitter que foi descontinuado em 2021. Como a chamada do X usa o Periscope, nossa análise de rede mostra que o aplicativo X cria a chamada como se fosse uma transmissão ao vivo do Twitter/X, mesmo que o conteúdo da chamada não possa ser ouvido.
Em última análise, usar a chamada X é sua escolha. Você não pode fazer nada, o que potencialmente o expõe a ligações de pessoas de quem você provavelmente não deseja receber ligações e pode comprometer sua privacidade. Ou você pode tentar limitar quem pode ligar para você decifrando as configurações do X. Ou você pode simplesmente desligar o recurso completamente e não precisar se preocupar com nada disso.
Carly Page e Jagmeet Singh contribuíram com reportagens.