Hoje o jornal britânico The Guardian publicou uma matéria
com uma manchete alarmante: “Backdoor no WhatsApp permite interceptar
mensagens criptografadas”. O fato teria grandes implicações sobre a
segurança e privacidade dos mais de um bilhão de usuários do aplicativo.
No entanto, não existe exatamente uma brecha no WhatsApp. O cenário é bem mais complicado do que parece.
O WhatsApp implementou no começo do ano passado o melhor padrão para mensagens seguras, o chamado protocolo de criptografia Signal.
Encontrar um backdoor no Signal, significa que alguém conseguiu
quebrar o que é considerado por todos o melhor esquema de criptografia
disponível publicamente. Mais de um bilhão de pessoas que dependem do
protocolo Signal, utilizado em diversos aplicativos de mensagens, de
repente estariam vulneráveis a espionagem de governos ou interceptações
maliciosas dos seus chats.
No entanto, Vários pesquisadores de segurança reagiram à matéria do Guardian nesta manhã, basicamente falando que o conteúdo era alarmante demais.
Fredric Jacobs, ex-desenvolvedor iOS na Open Whisper Systems – o
coletivo que desenhou e mantém o protocolo Signal – e que recentemente trabalhou na Apple, comentou:
É ridículo que isso seja apresentado como um backdoor. Se você
não verificar as chaves, a autenticidade delas não é garantida. É um
fato bem conhecido.
Alec Muffett, experiente pesquisador de segurança que já trabalhou no
time de Engenharia de infraestrutura de segurança do Facebook, disse ao
Gizmodo que “não se trata de um bug”. “Tudo está funcionando da forma
com a qual foi projetado e alguém está dizendo que é uma ‘falha’ e
fingindo que é um absurdo, quando na verdade é algo desprezível”,
comentou.
O que acontece com a criptografia do WhatsApp?
O WhatsApp usa algo chamado de “criptografia de chave pública”. O
usuário A pede uma chave pública ao servidor do WhatsApp que se aplique
ao usuário B. O usuário A usa a chave pública para criptografar a
mensagem. No entanto, ela também requer uma chave privada para ser lida,
em posse do usuário B – por isso ela não pode ser lida por outro
usuário.
O suposto backdoor que o Guardian descreveu é, na verdade,
uma característica que funciona como deveria. Para realmente ser uma
brecha, seria preciso uma imensa colaboração do Facebook para
interceptar as mensagens criptografadas de alguém, algo que a companhia
dificilmente faria.
“Quando alguém troca de telefone, compra um smartphone novo ou
restaura as configurações de fábrica e continua a conversa, as chaves de
criptografia do WhatsApp precisam ser renegociadas para acolher esse
novo telefone”, disse Muffet ao Gizmodo.
“Digamos que estou enviando mensagens para você, e seu telefone está
offline porque está sem bateria, ou sem sinal, ou qualquer coisa.
Algumas mensagens ‘aguardam’ no meu celular, esperando para falar com o
seu. A proposição é que essa condição: mensagens em espera, combinadas
com alguém em conluio com o Facebook, poderia ‘imitar’ a ‘pessoa que tem
o aparelho nessas condições’. Isso poderia fazer com que mensagens em
espera fossem re-encriptadas e enviadas para um celular novo,
falsificado ou contaminado”.
É por isso que de vez em quando você pode recebe uma mensagem e o conteúdo dela apresenta este alerta:
“Aguardando por esta mensagem. Isso pode demorar um pouco. Saiba mais”.
Em outros aplicativos de mensagens, o emissor precisaria reenviar o
texto, já que o conteúdo seria perdido sem a renegociação das chaves.
O fato do processo de intercepção ser tão difícil faz muitos
especialistas não considerarem como um backdoor. Quando a reportagem do
Guardian perguntou ao Facebook sobre a possível brecha e eventuais
pedidos de governos, a companhia afirmou que “o WhatsApp não dá aos
governos nenhum ‘backdoor’ aos seus sistemas e enfrentaria qualquer
pedido de governos para a criação de uma brecha”.
Aparentemente, não precisamos nos preocupar. Se você quiser ficar por
dentro dessas renegociações de chaves durante as suas conversas, acesse
as Configurações do WhatsApp, depois vá no menu “Conta”, em seguida em
“Segurança” e ative as notificações.
Você pode ainda ficar com um pé atrás, no entanto. No ano passado, o WhatsApp deixou de lado o seu compromisso de privacidade quando anunciou que iria compartilhar dados dos usuários com o Facebook.
Fonte: Gizmodo