WhatsApp nega brecha na criptografia e diz que mensagens não são interceptadas

Eu ou você, usuários comuns do WhatsApp, podemos até não sentir os efeitos e a gravidade desta descoberta. Porém, nem por isso devemos ficar satisfeitos ao saber que um serviço, cuja propaganda é baseada na segurança e privacidade dos usuários, pode estar nos enganando.

De acordo Tobias Boelter, pesquisador de criptografia e segurança da Universidade da Califórnia, o Facebook pode ler as mensagens que os usuários enviam devido a forma como o protocolo de criptografia de ponta-a-ponta do WhatsApp está sendo utilizado. Assim, devido a uma mudança na chave de criptografia enviada ao usuário, o WhatsApp poderia sim entregar o conteúdo de mensagens para a justiça ou agências do governo, por exemplo.

O protocolo de segurança do sistema de criptografia utilizado pelo WhatsApp é o Signal, desenvolvido pela Open Whisper System. Neste, o serviço tem por base a geração de chaves de segurança exclusivas. Assim, apenas os usuários envolvidos em uma conversa são portadores do código destas chaves e só eles podem decodificar o conteúdo das conversas, pois só eles possuem a chave para acessá-los.

• Tudo o que você precisa saber sobre a criptografia

Contudo, de acordo com o estudo de Boelter, o WhatsApp teria a habilidade de forçar a geração de novas chaves de criptografia para usuários offline sem que, necessariamente, o remetente ou o destinatário se deem conta disso. (Lembra quando você mudou de celular ou teve que reinstalar o app do WhatsApp, neste momento você é considerado "offline" para o serviço). E é aqui que se encontra a vulnerabilidade deste sistema.

Neste processo de trocar de chave, o WhatsApp passaria a ter acesso às conversas, e poderia, a princípio, ler estas mensagens se quiser. Entretanto, que fique bem claro que o problema não está no protocolo usado pelo WhatsApp, mas sim na forma como este está sendo utilizado pela empresa.

Se o Signal fosse utilizado da forma como foi desenvolvido, quando o destinatário ficasse offline durante a conversa, o serviço simplesmente avisaria que a mensagem não pode ser entregue, obrigando o remetente a reescreve-la e enviá-la novamente ao contato quando este estivesse online.

Porém, no WhatsApp, este é um processo automático, e você e o seu contato só saberão que isso aconteceu se ativarem a opção "Mostrar notificações de segurança" (Configurações > Conta > Segurança). Logo, o app pode avisar o usuário quando sua chave de segurança for trocada, mas é preciso ativar esse alerta nas configurações do aplicativo.

WhatsApp nega brecha na criptografia

Em comunicado ao The Guardian, jornal que publicou o conteúdo do estudo, o WhatsApp disse que sabe dessa circunstância e reforçou que os usuários podem ser notificados de alterações no protocolo de criptografia. "Nós sabemos que o motivo mais comum para isso acontecer [a troca de chaves de segurança] é quando um usuário troca de telefone ou reinstala o WhatsApp", disse o porta-voz da empresa.

O WhatsApp não dá aos governos acesso

Em contato com o WhatsApp no Brasil, recebemos a seguinte declaração sobre a publicação do jornal The Guardian:

"O jornal inglês The Guardian publicou em sua edição de hoje (13/1) uma reportagem afirmando que uma configuração intencional feita na programação do WhatsApp para evitar que milhões de usuários do aplicativo percam suas mensagens poderia ser utilizado como uma "backdoor", que permitiria que governos forçassem o WhatsApp a decifrar conversas de usuários. Esta informação é falsa.

O WhatsApp não dá aos governos acesso a entrar em seus sistemas e iria lutar contra qualquer pedido governamental para que seja criado tal acesso. A configuração citada pela reportagem do jornal inglês impede que milhões de mensagens de nossos usuários sejam perdidas e o WhatsApp oferece notificações de segurança às pessoas para alertá-las sobre possíveis riscos de segurança. O WhatsApp publicou uma análise técnica sobre seu projeto de criptografia e tem sido transparente sobre os pedidos de governos que tem recebido, publicando dados sobre esses pedidos no Relatório de Pedidos do Governo do Facebook.”

Ainda de acordo com o jornal, Boelter havia informado o Facebook sobre a vulnerabilidade em abril de 2016, mas a empresa havia dito que o problema era um "comportamento esperado" e não estava sendo ativamente trabalhado. O próprio jornal diz ter verificado a backdoor e afirmou que continua existindo.

Por fim, como disse acima, talvez a grande maioria dos mais de 1 bilhão de usuários do WhatsApp nem leve essa questão a sério, mas a vulnerabilidade apresenta uma enorme ameaça à liberdade de expressão, e prejudicaria principalmente pessoas que usam a plataforma como meio seguro de comunicação em países em guerra ou nos quais não existe liberdade de expressão.

Logo, uma ferramenta poderosa para ativistas, dissidentes e diplomatas (como bem lembrado pelo jornal inglês) pode estar os colocando em risco. Contudo, o WhatsApp nega que isso esteja acontecendo.