O AndroidPIT utiliza cookies para garantir que você tenha a melhor experiência no nosso site. OK
5 min para ler 81 Compartilhado 24 Comentários

WhatsApp nega brecha na criptografia e diz que mensagens não são interceptadas

Na época em que o WhatsApp enfrentou ações judiciais no Brasil e teve até o uso bloqueado pela justiça, falamos sobre como quebrar uma criptografia end-to-end é possível, mas dentro de condições bem específicas. Agora, veio a público uma pesquisa realizada em abril de 2016, que informa a existência de uma backdoor de segurança no WhatsApp, permitindo que conversas dos usuários possam ser interceptados pelo Facebook, dono do mensageiro, bem como por agências governamentais.

Eu ou você, usuários comuns do WhatsApp, podemos até não sentir os efeitos e a gravidade desta descoberta. Porém, nem por isso devemos ficar satisfeitos ao saber que um serviço, cuja propaganda é baseada na segurança e privacidade dos usuários, pode estar nos enganando.

De acordo Tobias Boelter, pesquisador de criptografia e segurança da Universidade da Califórnia, o Facebook pode ler as mensagens que os usuários enviam devido a forma como o protocolo de criptografia de ponta-a-ponta do WhatsApp está sendo utilizado. Assim, devido a uma mudança na chave de criptografia enviada ao usuário, o WhatsApp poderia sim entregar o conteúdo de mensagens para a justiça ou agências do governo, por exemplo.

O protocolo de segurança do sistema de criptografia utilizado pelo WhatsApp é o Signal, desenvolvido pela Open Whisper System. Neste, o serviço tem por base a geração de chaves de segurança exclusivas. Assim, apenas os usuários envolvidos em uma conversa são portadores do código destas chaves e só eles podem decodificar o conteúdo das conversas, pois só eles possuem a chave para acessá-los.

Contudo, de acordo com o estudo de Boelter, o WhatsApp teria a habilidade de forçar a geração de novas chaves de criptografia para usuários offline sem que, necessariamente, o remetente ou o destinatário se deem conta disso. (Lembra quando você mudou de celular ou teve que reinstalar o app do WhatsApp, neste momento você é considerado "offline" para o serviço). E é aqui que se encontra a vulnerabilidade deste sistema.

Neste processo de trocar de chave, o WhatsApp passaria a ter acesso às conversas, e poderia, a princípio, ler estas mensagens se quiser. Entretanto, que fique bem claro que o problema não está no protocolo usado pelo WhatsApp, mas sim na forma como este está sendo utilizado pela empresa.

Se o Signal fosse utilizado da forma como foi desenvolvido, quando o destinatário ficasse offline durante a conversa, o serviço simplesmente avisaria que a mensagem não pode ser entregue, obrigando o remetente a reescreve-la e enviá-la novamente ao contato quando este estivesse online.

Porém, no WhatsApp, este é um processo automático, e você e o seu contato só saberão que isso aconteceu se ativarem a opção "Mostrar notificações de segurança" (Configurações > Conta > Segurança). Logo, o app pode avisar o usuário quando sua chave de segurança for trocada, mas é preciso ativar esse alerta nas configurações do aplicativo.

whatsapp seguranca notificacoes de seg
Você pode ativar a opção "Mostrar notificações de segurança" / © AndroidPIT

WhatsApp nega brecha na criptografia

Em comunicado ao The Guardian, jornal que publicou o conteúdo do estudo, o WhatsApp disse que sabe dessa circunstância e reforçou que os usuários podem ser notificados de alterações no protocolo de criptografia. "Nós sabemos que o motivo mais comum para isso acontecer [a troca de chaves de segurança] é quando um usuário troca de telefone ou reinstala o WhatsApp", disse o porta-voz da empresa.

O WhatsApp não dá aos governos acesso

Em contato com o WhatsApp no Brasil, recebemos a seguinte declaração sobre a publicação do jornal The Guardian:

"O jornal inglês The Guardian publicou em sua edição de hoje (13/1) uma reportagem afirmando que uma configuração intencional feita na programação do WhatsApp para evitar que milhões de usuários do aplicativo percam suas mensagens poderia ser utilizado como uma "backdoor", que permitiria que governos forçassem o WhatsApp a decifrar conversas de usuários. Esta informação é falsa.

O WhatsApp não dá aos governos acesso a entrar em seus sistemas e iria lutar contra qualquer pedido governamental para que seja criado tal acesso. A configuração citada pela reportagem do jornal inglês impede que milhões de mensagens de nossos usuários sejam perdidas e o WhatsApp oferece notificações de segurança às pessoas para alertá-las sobre possíveis riscos de segurança. O WhatsApp publicou uma análise técnica sobre seu projeto de criptografia e tem sido transparente sobre os pedidos de governos que tem recebido, publicando dados sobre esses pedidos no Relatório de Pedidos do Governo do Facebook.”

Ainda de acordo com o jornal, Boelter havia informado o Facebook sobre a vulnerabilidade em abril de 2016, mas a empresa havia dito que o problema era um "comportamento esperado" e não estava sendo ativamente trabalhado. O próprio jornal diz ter verificado a backdoor e afirmou que continua existindo.

Por fim, como disse acima, talvez a grande maioria dos mais de 1 bilhão de usuários do WhatsApp nem leve essa questão a sério, mas a vulnerabilidade apresenta uma enorme ameaça à liberdade de expressão, e prejudicaria principalmente pessoas que usam a plataforma como meio seguro de comunicação em países em guerra ou nos quais não existe liberdade de expressão.

Logo, uma ferramenta poderosa para ativistas, dissidentes e diplomatas (como bem lembrado pelo jornal inglês) pode estar os colocando em risco. Contudo, o WhatsApp nega que isso esteja acontecendo.

Os comentários favoritos dos leitores

24 Comentários

Escreva um comentário:
Mostrar todos os comentários
81 Compartilhado

O AndroidPIT utiliza cookies para garantir que você tenha a melhor experiência no nosso site. Mais informações

Entendi