PUBLICIDADE
ANUNCIE: ☎ 54 3614 2118
POSTO NONOAI
Entenda a polêmica sobre a vulnerabilidade de segurança do WhatsApp
Alerta publicado em jornal britânico chama atenção para o funcionamento da criptografia do app



Há alguns dias, um recurso do sistema de criptografia ponta a ponta do WhatsApp vem dividindo a opinião de especialistas em segurança digital. O motivo por trás da polêmica é um alerta feito por Tobias Boelter, pesquisador do assunto, que mostrou ao  jornal britânico The Guardian que o aplicativo, sob demanda, poderia ter acesso a mensagens de usuários ou permitir a interceptação. 

O sistema de criptografia do WhatsApp, que cifra a escrita para impedir sua leitura, na teoria tornaria praticamente impossível que terceiros pudessem acessar as mensagens de outros usuários. No entanto, a publicação da reportagem o colocou sob suspeita.

A denúncia feita por Boelter sofreu críticas de outros especialistas e foi chamada até mesmo de "sensacionalista" pela Electronic Frontier Foundation, a EFF, uma organização não-governamental e ativista dos direitos de liberdade de expressão e privacidade na internet. Chamada inicialmente de "backdoor" (termo que denomina uma brecha intencional de segurança), a maneira como as mensagens são trocadas através do servidor do aplicativo deixaria a privacidade dos usuários vulnerável para que terceiros — como autoridades e o governo — pudessem interceptar comunicações feitas pelo app.

Para entender a polêmica, é preciso saber como funciona a criptografia de ponta a ponta do WhatsApp. A explicação básica é a seguinte: quando um usuário envia mensagens para outro, códigos de segurança únicos e designados para cada um são trocados e verificados para que terceiros não possam interceptá-las. Ou seja, Maria envia uma mensagem para João, e o sistema utiliza o código designado do aparelho dele ao trocar mensagens com Maria para mantê-las seguras. Nem todas as mensagens enviadas a João têm o mesmo código, que é único para cada conversa. Se João falar com outra pessoa, o código será diferente. Isso permite que apenas os dispositivos que têm os passes possam acessá-las. 



Resultado de imagem para WHATSAPP



Se João perder o celular e Maria enviar uma nova mensagem, esta vai permanecer no servidor até que ele consiga conectar novamente para baixá-la. Quando João compra um telefone novo e reinstala o WhatsApp, o servidor do aplicativo vai gerar um novo código. 

Boelter afirma que o WhatsApp poderia forçar a geração de novas chaves de criptografia sem que os usuários saibam, a não ser que tenham notificações de segurança ativadas (isso pode ser feito em Ajustes>Conta>Segurança). Por exemplo: o servidor poderia agir como se João tivesse perdido o seu celular, sem que ele precisasse perdê-lo de fato, e designar um novo código para ele que é, na verdade, um código que poderia ser "controlado" por terceiros. 

— Isso poderia ser um "backdoor" que um governo ou o Facebook poderia se aproveitar. Mas, para isso, ele precisa tornar um dos lados offline, ou seja, tirar alguém do ar e esperar que uma mensagem fique no servidor — explica Fernando Karl, diretor da Defenda, especialista em segurança da informação.

A Open Whisper Systems, desenvolvedora do aplicativo Signal (Edward Snowden, o ex-analista de sistemas que denunciou o monitoramento em massa feito pelos Estados Unidos, é um dos usuários mais conhecidos) e do protocolo de segurança utilizado pelo WhatsApp, respondeu em seu blog: "o fato de que o WhatsApp lida com essas mudanças nas senhas não é uma 'backdoor', é como a criptografia funciona".

Luciano Ignaczak, coordenador do curso de segurança da informação da Unisinos, afirma que o alerta de Boelter não seria necessariamente uma descoberta, já que o funcionamento do sistema de criptografia já é conhecido. 

— Quem faz o gerenciamento das chaves é o WhatsApp. Quando eu baixo o aplicativo e quero me comunicar com uma pessoa, o sistema avisa qual chave usar. Eu preciso acreditar que aquela chave é a certa. O problema não é a questão de troca de chaves,  porque isso é uma característica da criptografia. Eu, na verdade, tenho é que confiar que aquele servidor vai mandar — explica Ignaczak.

Karl afirma que, para ter acesso às mensagens de usuários, é preciso atingir as condições necessárias. Mas, se houver a intervenção, todas as mensagens trocadas a partir daquele momento poderiam a ser lidas. Esse seria o preço a ser pago em "troca" da facilidade do usuário — ele pode receber as mensagens de quando estava offline sem precisar fazer nada. 

— Esse recurso é uma conveniência ao usuário, que pode enviar mensagens para outros offline e, mesmo que o destinatário troque de celular e/ou sim card, receber a mensagem. Nota-se que existe sempre uma briga pelo equilíbrio entre segurança e conveniência de uso. Se o WhatsApp descartasse todas mensagens enviadas aos usuários offline ou não permitisse a troca de celulares, então teríamos um uso mais limitado do aplicativo que procura entregar um sistema de troca de mensagens simples e eficiente — diz Karl.

Ignaczak recomenda o uso de outros aplicativos para quem quer garantir uma comunicação mais segura e sua privacidade. 

— Por ser usado por uma grande quantidade de pessoas, o WhatsApp tem de deixar o processo o mais fácil o possível. Depois da implementação da criptografia, quase nada mudou porque a implementação foi feita de uma fora que o usuário não precisasse saber. As pessoas que querem ter sua privacidade devem pensar em outras alternativas, como o Telegram ou o Signal — completa Ignaczak.




Fonte: Rbs