Uma vulnerabilidade de segurança que pode ser usada para permitir que o Facebook e outros, possam interceptar e ler mensagens criptografadas, foi encontrada dentro do WhatsApp.
O Facebook afirma que ninguém pode interceptar as mensagens do WhatsApp, nem a empresa ou seus funcionários, garantindo a privacidade de seus usuários. Mas, na realidade não é bem assim, uma pesquisa mostra que a empresa na verdade poderia ler mensagens devido à maneira como o WhatsApp implementou seu protocolo de criptografia de ponta a ponta.
Militantes da privacidade e segurança disseram que a vulnerabilidade é uma “grande ameaça à liberdade de expressão” e advertiu que poderia ser usado por agências governamentais como uma porta dos fundos (backdoor) para espionar os usuários que acreditam que suas mensagens estão seguras
A criptografia de ponta a ponta usada no WhatsApp, baseia-se na geração de chaves de segurança única, usando o famoso protocolo Signal, desenvolvido pela Open Whisper Systems, que são negociados e verificado entre os usuários a garantia de comunicações seguras e não podem, em tese, ser interceptadas por um intermediário.
Funciona assim: você pede uma chave pública ao servidor do WhatsApp para conversar com a sua namorada. Você usa a chave pública para criptografar a mensagem. No entanto, ela também requer uma chave privada para poder ler a mensagem, por isso que a mensagem não pode ser lida por outro usuário.
No entanto, o WhatsApp tem a capacidade de forçar a geração de novas chaves de criptografia para usuários offline,(quando por exemplo, o aparelho está sem bateria, troca de smartphone, reinstalação do app, hard reset, etc..) sem o conhecimento do remetente e o destinatário das mensagens e volta a re-criptografar as mensagens do remetente com novas chaves e enviá-las novamente para quaisquer mensagens que não foram marcadas como entregue, aqueles dois tiques.
O destinatário não fica sabendo desta mudança na criptografia enquanto o remetente é notificado, apenas, se ele optou por isso no aviso de criptografia em configurações, e só depois as mensagens serão enviadas novamente. Existe uma brecha, um tempo em que as mensagens estão livres de criptografia, podendo assim, tirar o sono de muita gente.
Esta nova criptografia de retransmissão, permite efetivamente que o WhatsApp intercepte e leia as mensagens dos usuários, sem você ficar sabendo.
A brecha de segurança foi descoberta por Tobias Boelter, um pesquisador de segurança e criptografia da Universidade Berkeley, na Califórnia, e pasme, em Abril de 2016. Ele disse ao The Guardian:
“Se o WhatsApp for convidado por uma agência do governo para divulgar seus registros de mensagens, ele efetivamente pode conceder acesso devido à mudança das chaves.”
O Facebook disse que tem conhecimento do problema, que este bug tem um “comportamento esperado” e não está trabalhado para consertar isso, além de afirmar que o WhatsApp é totalmente seguro e não fornece nenhum backdoor para os governos. O que não é verdade.
A vulnerabilidade do WhatsApp expõe a privacidade das mensagens enviadas através do serviço no mundo todo, inclusive por pessoas que vivem em regimes opressivos. O protocolo Signal é também utilizado por diversos aplicativos de mensagens, como o Telegram, Messenger, Google Allo, WhatsApp entre outros, alcançando mais de 1 bilhão de pessoas que estão agora, vulneráveis.
Steffen Tor Jensen, chefe de segurança de informação e vigilância digital na Organização Europeia-Bahraini pelos direitos humanos, verificou as conclusões do Boelter. Ele disse:
“WhatsApp efetivamente pode continuar sacudindo as chaves de segurança, quando os dispositivos estão off-line e re-enviar a mensagem, sem avisar os usuários da mudança até depois que ela foi feita, fornecendo uma plataforma extremamente insegura.”
Boelter disse:
“[alguns] poderiam dizer que essa vulnerabilidade só pode ser abusada para espionar ‘unicamente’ mensagens orientadas, não conversas inteiras. Isso não é verdade, se você considerar que o servidor do WhatsApp só pode enviar mensagens sem notificação de envio a ‘mensagem foi recebida pelo destinatário’ (ou o duplo tique ) os usuários podem não notar. Usando a vulnerabilidade de retransmissão, o servidor do WhatsApp então, mais tarde, conseguiria uma transcrição da conversa toda, não apenas uma única mensagem.”
Em nota, um porta voz do WhatsApp reafirmou que a falha existe e que não será corrigida, já que para o Facebook, é mais importante entregar a mensagem, ao invés de protegê-la.
Caso queira tentar se sentir um pouquinho mais seguro no WhatsApp, vá em Configurações>Conta>Segurança e ligue as notificações de segurança.
Fonte: The Guardian
Comentários