Quando o WhatsApp anunciou a “ criptografia de ponta-a-ponta”, todo mundo respirou aliviado, já que sabemos que aplicativos de bate-papo são alguns dos principais alvos de ataques hackers e agências de espionagem, porque permitem obter conversas sigilosas de bilhões de usuários.
A ideia era que nem a companhia (ou seja, o Facebook, que é dono do app) tivesse acesso ao conteúdo de seus usuários.
Mas, parece que as coisas não estão funcionando exatamente da maneira como deveriam – ou, pelo menos, como nos disseram que iria funcionar. Quem garante isso é Tobias Boelter, o pesquisador de segurança e criptografia da Universidade da Califórnia-Berkeley.
De acordo com ele, uma porta de segurança do aplicativo pode ser acessada pelos desenvolvedores para interceptar e ler mensagens criptografadas.
”Se o WhatsApp for solicitado por uma agência governamental para divulgar seus registros de mensagens, pode efetivamente conceder acesso, por conta da mudança de chaves”, declarou Boelter ao jornal britânico The Guardian.
Isso prova que a criptografia do WhatsApp é mais falha do que se imaginava.
Brecha na criptografia
O sistema de criptografia utilizado no WhatsApp foi desenvolvido pela empresa Open Whisper Systems, a partir do protocolo Signal, considerado um método ultrasseguro em relação à privacidade (para se ter ideia, até Edward Snowden, ex-administrador de sistemas da CIA, o recomenda).
Mas a brecha não está bem no sistema. Quando o usuário fica off-line, o WhatsApp gera novas chaves de criptografia, sem que o usuário e nem a pessoa com quem ele está conversando pelo aplicativo saibam disso.
Isso funciona durante aquele processo em que alguém te envia a mensagem e ela ainda não aparece com os dois risquinhos azuis de lida.
O especialista afirma que é durante essa ‘re-criptografia’ que o WhatsApp pode interceptar e ler as mensagens. Vale lembrar que os usuários não são avisados disso.
Boelter disse que entrou em contato com o Facebook para avisar sobre essa brecha em abril do ano passado. Foi informado de que a companhia sabia disso. Era um “comportamento esperado”, foi a resposta da rede social.
Conversas inteiras do WhatsApp em risco
Se é falha ou uma funcionalidade prevista, o fato é que isso torna as mensagens pelo aplicativo mais vulneráveis.
“Alguns podem achar que essa vulnerabilidade só pode ser usada para espionar mensagens isoladas, e não conversas inteiras. Isso não é verdade, se você considerar que o servidor do WhatsApp só pode encaminhar mensagens sem enviar a notificação ‘mensagem recebida pelo usuário’”, alertou Boelter, referindo-se aos riscos duplos de mensagem lida.
Usando a vulnerabilidade de retransmissão, ou seja, o momento off-line em que o WhatsApp adota outra criptografia, “o servidor do aplicativo pode, em seguida, obter uma transcrição de toda a conversa, não apenas uma única mensagem”, explicou.
Até o momento, o WhatsApp não se pronunciou sobre o assunto.
WhatsApp: segurança comprometida
- Falha no WhatsApp deixa dados em risco: veja o que fazer
- Afinal, por que bloqueiam o WhatsApp no Brasil tantas vezes?
- 5 recursos escondidos do WhatsApp que você não conhecia