PUBLICIDADE

Tecnologia

WhatsApp tem falha que permite ler conversa mesmo com criptografia, diz jornal

 |
Divulgação / Reprodução

WhatsApp possui uma brecha que permite ler conversas dos usuários mesmo que as mensagens estejam criptografadas, informa o jornal britânico “Guardian”, em reportagem publicada nesta sexta-feira (13).

A falha foi descoberta por Tobias Boelter, um pesquisador da Universidade de Berkeley, na Califórnia, que chegou a comunicá-la em abril do ano passado ao Facebook, o dono do aplicativo de mensagem, que não resolveu o problema.

A vulnerabilidade decorre, diz o jornal, da forma como o WhatsApp implantou um modelo de criptografia de ponta-a-ponta amplamente usado e tido como sólido.

O sistema pressupõe a geração de chaves únicas de segurança para cada usuário. É com elas que as mensagens são codificadas. A criptografia de ponta-a-ponta, como o nome sugere, protege todo o trajeto da comunicação entre as pontas (os participantes) de uma conversa. Com ela, nenhum intermediário, nem mesmo o WhatsApp, deve ser capaz de interferir na conversa e obter o conteúdo que foi compartilhado.

Só que o WhatsApp adaptou o protocolo Signal, desenvolvido pela Open Whisper Systems, amplamente usado em outros por outros aplicativos “seguros”, como o Telegram. Essa modificação permite que o serviço troque as chaves de um usuário que não esteja conectado sem que remetente ou destinatário saibam disso. A partir daí, todas as mensagens marcadas como não entregues são criptografas com a nova chave e enviadas novamente, diz o “Guardian”.

“Se o WhatsApp for questionado por uma agência governamental para revelar seu registro de mensagem, pode efetivamente garantir acesso devido a essa mudança de chaves”, afirmou Boelter ao jornal.

Originalmente no protocolo Signal, se um usuário off-line muda sua chave enquanto algumas de suas mensagens foram enviadas mas não entregues, o envio falha, e o remetente é avisado da troca dos códigos de encriptação.

“Podem dizer que essas vulnerabilidade pode apenas ser explorada para espionar uma só mensagem, não conversas inteira. Isso não é verdade se você considerar que o servidor do WhatsApp pode encaminhar mensagens sem encaminhar a notificação de que a mensagem não foi entregue [sinalizada pelo duplo tique], o que os usuários podem não notar. Usando a retransmissão da vulnerabilidade, o servidor do WhatsApp pode mais tarde conseguir uma transcrição de toda a conversa, não apenas de uma única mensagem”, afirmou Boelter.

O WhatsApp anunciou no ano passado a adoção de criptografia de ponta-a-ponta no ano passado – antes disso, o app já usava um modelo mais simples de codificação de mensagens.

O jornal questionou o WhatsApp. “Nós sabemos que as razões mais comuns para isso acontecer [troca de chaves] são porque as pessoas trocam de celulares ou reinstalam o WhatsApp. Isso ocorre porque em muitas partes do mundo, as pessoas frequentemente mudam de aparelho ou de SIM card. Nessas situações, nós queremos dar às pessoas a certeza de que as mensagens serão enviadas, não perdidas no meio do caminho”, afirmou um porta-voz do aplicativo ao jornal.

Entenda a criptografia de ponta-a-ponta

Essa solução funciona a partir da troca de chaves criptográficas, a tecnologia responsável pelo processo que embaralha e codifica cada mensagem individualmente. A vantagem desse tipo de criptografia é que o processo é invisível e não exige nenhuma ação por parte dos usuários: as chaves são recebidas e utilizadas automaticamente.

Essa troca deve, idealmente, ocorrer diretamente entre os participantes de uma conversa. Isso dá trabalho e, no mundo real, sistemas de criptografia utilizam entidades confiáveis para verificar a legitimidade das chaves.

No caso do WhatsApp, a troca é intermediada pelo aplicativo. Isso significa que uma falha de segurança no app ainda pode permitir que um espião interfira no processo de troca de chaves, violando a segurança e a privacidade da comunicação do mesmo jeito que seria possível antes do WhatsApp adotar a criptografia de ponta-a-ponta.

Teste de confidencialidade

Como a comunicação passa a depender da segurança de um intermediário, o sigilo não está mais só nas mãos dos participantes da conversa. É por isso que o WhatsApp possui um meio de conferir se a troca de chaves ocorreu de maneira correta. Ou seja: se a chave recebida por seu amigo é a mesma que ele enviou, então está tudo certo e o processo ocorreu de maneira segura.

A verificação consiste em abrir o perfil de um contato no WhatsApp e clicar em Criptografia – o item com um cadeado. Depois, basta escanear o código QR que aparecer na tela. Em caso de segurança, o código se transforma em um tique verde.

O ideal é fazer isso pessoalmente, mas é possível usar outros meios, como uma videochamada. Junto do código QR também há uma série de números que pode ser usada para comparação por outros meios, como uma chamada telefônica.

A ideia principal é que a verificação não ocorra pelo próprio WhatsApp. Quanto mais confiável e menos sujeito a interferência ou grampos for o método usado na verificação, melhor será a segurança.

Ainda há riscos?

Mesmo com todos esses processos, um ataque é teoricamente possível. Criminosos ou espiões, porém, teriam uma dificuldade considerável para intervir no processo de troca de chaves, já que ele também é protegido por chaves criptográficas do próprio aplicativo.

Ao criar um meio de checagem manual, o WhatsApp demonstra compromisso com a segurança dos usuários e busca se isentar de qualquer acusação de colaboração com a espionagem governamental, como a que foi revelada por Edward Snowden.

Por outro lado, como o WhatsApp está intermediando essa troca, os desenvolvedores do aplicativo têm acesso às chaves que forem transmitidas. Isso, no entanto, não compromete o sigilo da conversa.

O sistema de criptografia usado no WhatsApp é "assimétrico", em que a chave usada para codificar uma mensagem no envio não é a mesma usada para decifrá-la quando ela é recebida. A chave capaz de decifrar as mensagens é diferente para cada usuário e fica somente no aparelho de telefone, não sendo transmitida ao WhatsApp. É por isso que a empresa não tem acesso ao conteúdo das chamadas e conversas.

 



deixe sua opinião






  • Máximo 700 caracteres (0) 700 restantes

    O conteúdo do comentário é de responsabilidade do autor da mensagem.

    Clicando em enviar, você aceita que meu nome seja creditado em possíveis erratas.



mais lidas de Tecnologia (últimos 30 dias)

PUBLICIDADE
PUBLICIDADE
TOPO

Contato

Redação

Facebook Oficial