Missão Cumprida: Integrando Max e E2E para um Mensageiro Mais Seguro
Um projeto hobby explora a criação de um cliente leve para um aplicativo de mensagens popular, adicionando recursos de criptografia end-to-end (E2E) e anonimato, com foco em segurança e eficiência.
MundiX News·03 de junho de 2026·7 min de leitura·👁 10 views
A ideia de criar um cliente de mensagens mais seguro e leve surgiu em meio a discussões sobre a falta de criptografia end-to-end (E2E) em aplicativos populares. Este projeto hobby visa demonstrar como é possível adicionar funcionalidades de anonimato e criptografia a um aplicativo existente, mesmo que o nível de segurança não seja comparável ao de soluções dedicadas como Signal ou Telegram. O resultado é um APK significativamente menor, que consome menos recursos do dispositivo e oferece maior visibilidade sobre as requisições de rede.
O desenvolvimento foi realizado utilizando o framework Tauri, que permite a criação de aplicações desktop e mobile com uma base de código web (JavaScript/Svelte) e um backend em Rust. Essa abordagem garante um tamanho de bundle reduzido e acesso a funcionalidades nativas através de uma ponte Rust. A comunicação com os servidores do aplicativo de mensagens foi analisada e replicada, permitindo a implementação de funcionalidades como registro, login, sincronização de contatos e chats, e o envio de mensagens. Para o armazenamento de dados do usuário, como chaves de criptografia, foram utilizados Svelte Store e Tauri Store.
A criptografia end-to-end foi implementada em duas camadas. A primeira envolve a ofuscação do texto das mensagens, transformando caracteres legíveis em sequências de símbolos aparentemente aleatórios, utilizando compressão e mapeamento customizado. A segunda camada, mais robusta, emprega criptografia assimétrica e simétrica. Cada mensagem é criptografada com uma chave de conteúdo única usando ChaCha20-Poly1305. Essa chave de conteúdo é então encapsulada separadamente para cada destinatário através de um esquema de envelope encryption, utilizando troca de chaves ECDH e assinaturas digitais com Ed25519 para garantir a autenticidade e integridade. Embora este protótipo ainda não possua recursos avançados como o protocolo Double Ratchet ou verificação robusta de identidade, ele já oferece uma camada significativa de privacidade contra a análise de tráfego pelo lado do servidor e por intermediários.
O projeto também explora o potencial de chamadas de voz seguras, com uma arquitetura similar para troca de chaves e criptografia de áudio. Além disso, a ideia de usar o canal de comunicação para tunelamento de tráfego e a implementação de payloads customizados, que transformam o mensageiro em uma camada de transporte para dados arbitrários, são discutidas como futuras evoluções. O desenvolvimento contínuo visa adicionar suporte a documentos criptografados, chamadas seguras, multi-contas e um sistema de plugins, enfrentando os desafios de segurança e as contramedidas que podem ser implementadas pelos desenvolvedores do aplicativo original.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A ideia de criar um cliente de mensagens mais seguro e leve surgiu em meio a discussões sobre a falta de criptografia end-to-end (E2E) em aplicativos populares. Este projeto hobby visa demonstrar como é possível adicionar funcionalidades de anonimato e criptografia a um aplicativo existente, mesmo que o nível de segurança não seja comparável ao de soluções dedicadas como Signal ou Telegram. O resultado é um APK significativamente menor, que consome menos recursos do dispositivo e oferece maior visibilidade sobre as requisições de rede.
O desenvolvimento foi realizado utilizando o framework Tauri, que permite a criação de aplicações desktop e mobile com uma base de código web (JavaScript/Svelte) e um backend em Rust. Essa abordagem garante um tamanho de bundle reduzido e acesso a funcionalidades nativas através de uma ponte Rust. A comunicação com os servidores do aplicativo de mensagens foi analisada e replicada, permitindo a implementação de funcionalidades como registro, login, sincronização de contatos e chats, e o envio de mensagens. Para o armazenamento de dados do usuário, como chaves de criptografia, foram utilizados Svelte Store e Tauri Store.
A criptografia end-to-end foi implementada em duas camadas. A primeira envolve a ofuscação do texto das mensagens, transformando caracteres legíveis em sequências de símbolos aparentemente aleatórios, utilizando compressão e mapeamento customizado. A segunda camada, mais robusta, emprega criptografia assimétrica e simétrica. Cada mensagem é criptografada com uma chave de conteúdo única usando ChaCha20-Poly1305. Essa chave de conteúdo é então encapsulada separadamente para cada destinatário através de um esquema de envelope encryption, utilizando troca de chaves ECDH e assinaturas digitais com Ed25519 para garantir a autenticidade e integridade. Embora este protótipo ainda não possua recursos avançados como o protocolo Double Ratchet ou verificação robusta de identidade, ele já oferece uma camada significativa de privacidade contra a análise de tráfego pelo lado do servidor e por intermediários.
O projeto também explora o potencial de chamadas de voz seguras, com uma arquitetura similar para troca de chaves e criptografia de áudio. Além disso, a ideia de usar o canal de comunicação para tunelamento de tráfego e a implementação de payloads customizados, que transformam o mensageiro em uma camada de transporte para dados arbitrários, são discutidas como futuras evoluções. O desenvolvimento contínuo visa adicionar suporte a documentos criptografados, chamadas seguras, multi-contas e um sistema de plugins, enfrentando os desafios de segurança e as contramedidas que podem ser implementadas pelos desenvolvedores do aplicativo original.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
