Há uma porta dos fundos (backdoor) que permite que as mensagens criptografadas do WhatsApp sejam espionadas, tanto pelo governo quanto por hackers.
[Atualização 29/6/17] O jornal The Guardian admite que exagerou na interpretação da falha de segurança do WhatsApp. Mais detalhes: https://goo.gl/aTjKXD
O Guardian publicou na sexta-feira, 13 de janeiro, que haveria uma porta dos fundos (backdoor) que permitiria que as mensagens criptografadas do WhatsApp fossem espionadas, tanto pelo governo quanto por hackers. Pronto, a controvérsia se formou.
De um lado estão o próprio WhatsApp e outros experts em segurança como Alec Muffett e Fredric Jacobs (entre outros), que defendem a criptografia ponto-a-ponto como sendo o melhor esquema de criptografia disponível e utilizado em vários programas populares de mensagens. O sistema de criptografia ponto-a-ponto entrou em vigor no WhatsApp em abril de 2016.
Eles classificam a reportagem como calúnia para trazer medo, incerteza e dúvida, e que o aplicativo funciona como foi previsto, isto é, permite a recuperação das mensagens quando o usuário troca de aparelho ou faz uma recuperação de fábrica, pois novas chaves de criptografia são geradas offline. O WhatsApp ou outro hacker/agência do governo poderiam, no entanto, ler essas novas chaves, interceptar e ler as mensagens sem o conhecimento nem o consentimento das pessoas que conversam.
Ao Guardian, o pesquisador chamou essa possibilidade tecnicamente de backdoor e que permitiria que governos e agências de espionagem demandassem a quebra da criptografia ao WhatsApp. O WhatsApp afirma que o seu esquema de criptografia foi publicado e que procede com transparência com todos os pedidos governamentais de quebra de sigilo que recebe.
Por outro lado, alguns fatos nos fazem pensar:
- A própria equipe do WhatsApp trabalhou no Open Whisper Systems que desenvolveu o protocolo de segurança ponto-a-ponto da Signal Protocol que ela mesma utiliza.
- No ano passado, o WhatsApp anunciou que irá compartilhar seus dados com o Facebook. O perfil do Facebook é a forma de monetização pelo envio de propagandas direcionadas, mas o custo de interceptar essas mensagens não parece tornar viável esse sistema. No entanto, esse não é o caso dos governos e das agências de espionagem, cujo número de pessoas-alvo é consideravelmente menor do que os 1 bilhão de usuários WhatsApp.
- O WhatsApp não informa (por padrão) sobre a geração offline das chaves de criptografia.
- A suposta “falha” foi descoberta pelo pesquisador independente de segurança Tobias Boelter em abril de 2016 e, apesar de ter sido informada ao Facebook, não teve outro encaminhamento do que a resposta de que se tratava “do comportamento esperado”, de uma “função do aplicativo”.
- Há aplicativos de mensagens, como o Wire e o Signal, que usam uma criptografia de código aberto, que permite o teste e a auditoria da segurança das comunicações. O problema sempre está no número de pessoas que utilizam esses aplicativos, pois o usuário normal quer, no final das contas, apenas se comunicar. O Telegram não parece ser uma opção, pois apresenta o mesmo comportamento do WhatsApp.
Conclusões e sugestões
Queremos transparência: talvez fosse um bug ou uma decisão de projeto, mas, uma vez descoberto em abril de 2016, deveria ter sido tratado como uma backdoor. Tudo depende do profissionalismo e responsabilidade com que você enfrenta os desafios tecnológicos e toma decisões. Se a privacidade e a segurança fossem cláusulas pétreas, o WhatsApp deveria ter atuado. E atuado há vários meses.
O que você pode fazer no momento
- Abra o WhatsApp e vá para Configurações
- Abra as opções de Conta e, depois, Segurança
- Habilite a opção Mostrar notificações de segurança
- Confiar no WhatsApp
Se você receber a informação de que houve uma mudança nas chaves de segurança e o seu contato não trocou de smartphone, não fez uma reconfiguração de fábrica nem trocou de cartão SIM, você pode estar com problemas.
Se você é realmente paranoico ou suspeita de vigilância, o WhatsApp oferece a verificação das chaves por código QR ou comparação do código de 60 dígitos. No entanto, o que você vê é apenas uma representação visual das chaves, que são sempre secretas. Por isso, novamente, você precisa confiar no WhatsApp.