Como funciona
O Session gera localmente um Account ID de 66 caracteres no primeiro acesso — essa cadeia é a única identidade ligada às suas mensagens. Mensagens de saída são embrulhadas em três camadas de criptografia e enviadas por caminhos com roteamento onion pela rede de service nodes do Session, a infraestrutura descentralizada herdada do projeto Oxen. Até o destinatário entrar em rede, o cifrado fica armazenado em um swarm de service nodes, dos quais nenhum vê ao mesmo tempo conteúdo, remetente e destinatário. Os clientes para desktop, iOS e Android são builds oficiais; também há a rota F-Droid e um APK auto-compilado. A criptografia ponta a ponta usa o Session Protocol, um derivado do Signal Protocol despido do identificador permanente que é o número de telefone e remontado para operar sobre a rede descentralizada de armazenamento e encaminhamento da Fundação.
KYC e privacidade
A criação de conta não pede nada. Não há formulário de cadastro, não há checagem de e-mail, não há código por SMS — o aparelho gera um par de chaves, a metade pública vira o seu Account ID, a privada fica no aparelho. Não há servidor central a intimar porque não há servidor central: as mensagens trafegam por service nodes em rotação e o cliente usa onion requests, de modo que nenhum nó isolado vê as duas pontas de uma conversa. Os clientes são publicados sob a GPLv3 com partes sob BSD/MIT, e a árvore de código é auditável publicamente no GitHub. A Quarkslab auditou o Session em 2020–2021 nas plataformas desktop, iOS e Android, registrando 16 problemas; apenas um foi classificado como severo (uma falha de verificação TLS na consulta Android aos service nodes), e todos foram corrigidos dentro do período de auditoria.
Pontos fortes e limites
O ponto mais forte é estrutural: não há número de telefone para vazar, não há e-mail para correlacionar, não há operador a quem se possa exigir uma tabela de usuários, porque essa tabela não existe. A governança também pesa. Quando a Polícia Federal Australiana começou a fazer visitas e a e-Safety Commissioner local pressionou por regras setoriais de retenção, a OPTF se afastou em outubro de 2024 e a Session Technology Foundation assumiu a partir da Suíça. Os limites são reais. O Account ID de 66 caracteres é um pedágio de usabilidade — não é memorizável e precisa ser compartilhado por QR ou canal externo — e a minimização de metadados do Session cobra um custo funcional: as notificações push do iOS podem ser instáveis, as chamadas de voz e vídeo ainda amadurecem, e a auditoria da Quarkslab já tem quatro anos sem nenhum desdobramento publicado. A criptomoeda que remunera os service nodes, OXEN, oscila à parte das garantias de privacidade do mensageiro, mas vale conhecer.
Veredicto
O Session é a opção quando não se quer um número de telefone parado no banco de dados de alguém. Não é o app de chat mais fluido — o Signal ainda ganha em qualidade de chamada e confiabilidade — mas, na métrica que o projeto escolheu, o vazamento de metadados, entrega a resposta mais rigorosamente projetada entre os clientes de massa. Nota: A- (8,9/10). Confiança: LEGIT.
O Session é a opção quando não se quer um número de telefone parado no banco de dados de alguém. Não é o chat mais fluido, mas no vazamento de metadados entrega a resposta mais rigorosamente projetada entre os clientes de massa. Nota: A- (8,9/10). Confiança: LEGIT.
