As the internet blackout in Iran continues, officials have been encouraging citizens to rely on a domestic messaging app called Bale to communicate with their families abroad. This came amid growing concerns regarding the safety and privacy of using such applications for sensitive communication.
A recent security audit revealed alarming findings about Bale Messenger. This app, developed by a company connected to the National Bank of Iran, not only lacks end-to-end encryption (E2EE) but also has the potential to track and store sensitive user data. Despite its claims of privacy protection, researchers discovered that the app shares information with its servers, raising significant security concerns.
Os riscos do Bale Messenger
Bale, que significa “sim” em persa, é um aplicativo de mensagens instantâneas que promete oferecer recursos como chamadas de voz e até serviços bancários. Com mais de 16.5 milhões de usuários ativos mensais, segundo dados do Ministério das Comunicações do Irã, sua popularidade cresceu rapidamente. No entanto, isso não significa que o aplicativo seja seguro.
Uma auditoria realizada por pesquisadores da Open Technology Fund em 2023 e 2024 flagrou várias vulnerabilidades de segurança e privacidade. As análises mostraram que, embora os aplicativos analisados, incluindo Bale, usassem algum tipo de criptografia, nenhum deles oferecia proteção E2EE de fato. Isso significa que, diferentemente do que as autoridades afirmam, as comunicações podem ser interceptadas.
O Bale foi especificamente criticado por utilizar criptografia que pode ser facilmente revertida, o que levanta questões sobre a segurança dos dados dos usuários. Além disso, o aplicativo possui a capacidade de censurar e monitorar as comunicações dos usuários, o que o qualifica como uma ferramenta de vigilância estatal.
Um ponto interessante é que todas as mensagens enviadas através de Bale podem ser trocadas com outros aplicativos, utilizando um serviço chamado Message Exchange Bus (MXB), um sistema de propriedade estatal. Isso significa que o servidor do aplicativo pode potencialmente ver mensagens em texto simples, já que não há E2EE para proteger essas informações.
Além do mais, os pesquisadores descobriram que a Bale também coleta dados de localização dos usuários durante o processo de autenticação, levantando preocupações adicionais sobre privacidade.
O que os especialistas estão dizendo
Após a auditoria, especialistas sugeriram que os usuários optem por aplicativos de mensagens mais seguros que realmente utilizam E2EE, como Signal, Session e Wire. Azam Jangrevi, um analista de segurança da informação no Irã, destacou os riscos significativos do Bale, alertando sobre a possibilidade de spyware no código do aplicativo.
Ela enfatizou que o aplicativo deve ser evitado para comunicações sensíveis, recomendando o uso de serviços criptografados, como o Signal, através de VPNs seguras. No entanto, a qualidade da conexão pode variar, o que complica ainda mais a situação.
O blackout da internet no Irã
O Irã está enfrentando um blackout quase total da internet desde o dia 18 de junho de 2025, impactando gravemente a capacidade de seus cidadãos de se comunicar e acessar informações. Embora a conectividade tenha sido brevemente restaurada, a situação se deteriorou rapidamente, deixando a população desconectada mais uma vez. As autoridades cortaram o acesso a aplicativos populares, como o WhatsApp, temendo que fossem utilizados como ferramentas de informação estratégica contra o regime.
Esse cenário de restrições e vigilância elevou a demanda por VPNs, com um aumento de mais de 700% no uso em algumas regiões do país. Contudo, as autoridades estão ativamente tentando bloquear o acesso às melhores VPNs disponíveis, complicando ainda mais as tentativas de comunicação com o exterior.
Com a atual situação no Irã, a escolha de aplicativos de comunicação seguros é mais crucial do que nunca. O uso de serviços que não garantem a privacidade dos usuários pode acarretar riscos significativos em um ambiente já complicado e restritivo.
