Um pesquisador descobriu uma falha de segurança no Whatsapp que permite a terceiros interceptar e ler as mensagens criptografadas. Tobias Boelter, especialista em criptografia e segurança da Universidade de Berkeley, na Califórnia, acredita que isso contradiz a afirmação do WhatsApp de que ninguém é capaz de descriptografar as mensagens que são enviadas para os usuários. “Nem cibercriminosos. Nem hackers. Nem regimes opressivos. Nem mesmo nós”, disse a empresa ao implementar a criptografia de ponta a ponta.
No entanto, em uma exclusiva para o The Guardian, Boelter afirmou que em abril de 2016 havia notificado o Facebook, dono do aplicativo de mensagens, sobre a existência desse problema. Em resposta, a empresa disse que sabia do assunto e que não estava trabalhando ativamente nele, já que se tratava de um comportamento esperado. No entanto, e agora, o que exatamente foi encontrado?
O problema é o resultado da forma como o WhatsApp implementou a criptografia de ponta a ponta. Segundo The Guardian, “se baseia na geração de senhas de segurança únicas, utilizando o aclamado protocolo Signal (...) que são trocados e verificados entre os usuários para garantir que as comunicações sejam seguras”. No entanto, aparentemente, o aplicativo “tem a habilidade de forçar a geração de novas chaves de criptografia para usuários offline, desconhecidas para o remetente e destinatário”; dessa forma, enquanto as mensagens não são marcadas como entregues (ou seja, não aparecem as duas confirmações de entrega), o aplicativo pode fazer com que o remetente volte a criptografar a mensagem com novas chaves, para enviar-lhe outra vez.
O receptor não é informado sobre essa mudança, enquanto que o remetente apenas será notificado se optar por receber advertências sobre criptografia em seus ajustes, e apenas depois que a mensagem é reenviada.
Segundo Boelter, é esse processo que permite a empresa ler as mensagens supostamente criptografadas. No entanto, como ele mesmo notou, se uma agência de segurança nacional pedir ao WhatsApp que entregue a informação, também pode pedir que a envie descriptografada. Portanto, deve existir uma forma de acessar as mensagens.
Sem dúvidas, a notícia é surpreendente não apenas por seu impacto para os usuários, como também porque o WhatsApp tem feito da privacidade e segurança uma estratégia comercial, tentando satisfazer aos mais de um bilhão de usuários e grupos defensores da privacidade.
Atualização 13/01/2016, 16:00 hs.: WhatsApp respondeu ao artigo do The Guardian negando que haja um backdoor em seu app. “WhatsApp não provê aos governos uma ‘porta dos fundos’ a seus sistemas e rechaçaria qualquer pedido governamental para criar um backdoor”, disse em um comunicado a TechCrunch. “A decisão de projeto referenciada no artigo do The Guardian previne que milhões de mensagens se perdam”. A companhia afirma que uma característica intencional da implementação do protocolo Signal inclui a possibilidade de receber notificações quando o código de segurança de um contato é modificado; dessa forma, informa-se caso a chave seja modificada e quando, de maneira que se saiba se há risco de que as mensagens estejam sendo interceptadas. Ativa-se em Ajustes > Conta > Segurança.