Destaque, Serviços, Tecnologia

Brecha do WhatsApp permite espionar mensagens criptografadas, diz jornal

Um pesquisador da Universidade da Califórnia descobriu uma brecha de segurança do WhatsApp que pode ser usada pelo Facebook e por outras instituições para interceptar e ler mensagens criptografadas enviadas no aplicativo.

De acordo com o jornal “Guardian”, Tobias Boelter, especialista em criptografia e segurança, encontrou o atalho. “Se agências do governo solicitarem ao WhatsApp o registro de mensagens, a empresa pode conceder esse acesso devido a uma mudança de chaves [de segurança]”, disse ele à publicação britânica.

O Facebook, que controla o WhatsApp, afirma que ninguém pode interceptar essas mensagens -nem mesmo a empresa e sua equipe-, o que garante a privacidade dos usuários.

O sistema de segurança gera chaves de segurança exclusivas, por meio do protocolo Signal, desenvolvido pela Open Whisper Systems.

A criptografia “end to end” é um sistema utilizado pelo aplicativo para que a mensagem saia com uma espécie de “cadeado invisível” do dispositivo que a envia e só seja decodificada quando chega ao aparelho do receptor. Nos servidores da empresa, não são retidos nenhum vestígio do conteúdo dessas mensagens.

A segurança do WhatsApp baseia-se na geração de chaves de segurança exclusivas, usando o aclamado protocolo Signal, desenvolvido pela Open Whisper Systems, que é negociado e verificado entre usuários para garantir que as comunicações são seguras e não podem ser interceptadas por um intermediário.

No entanto, o WhatsApp tem a capacidade de forçar a geração de novas chaves de cifração para usuários off-line, sem que remetente e destinatário da mensagem original tenham ciência disso, e pode forçar o remetente a recifrar mensagens com novas chaves e enviá-las de novo, em caso de mensagens que não tenham sido marcadas como entregues.

O destinatário não é informado dessa alteração na criptografia, enquanto o remetente é notificado somente se eles tiverem optado por avisos de criptografia nas configurações e somente após as mensagens terem sido reenviadas. Esta re-criptografia e retransmissão efetivamente permite que o WhatsApp intercepte e leia as mensagens dos usuários.

Segundo o “Guardian”, Boelter relatou a vulnerabilidade ao Facebook em abril de 2016. A resposta foi que a empresa estava ciente do problema, que era um “comportamento esperado” e não estava sendo trabalhado.

Um porta-voz da WhatsApp disse ao “Guardian” que “mais de 1 bilhão de pessoas usam o WhatsApp hoje porque é simples, rápido, confiável e seguro. Sempre acreditamos que as conversas das pessoas devem ser seguras e privadas. No ano passado, demos a todos os nossos usuários um nível de segurança melhor, fazendo com que cada mensagem, foto, vídeo, arquivo e chamada de ponta a ponta sejam criptografados por padrão. À medida que introduzimos recursos como criptografia de ponta a ponta, nos concentramos em manter o produto simples e levar em consideração como ele é usado todos os dias em todo o mundo.”

“Na implementação do protocolo Signal adotada pelo WhatsApp”, acrescentou o porta-voz ao “Guardian”, “temos uma opção de configuração que permite exibir notificações de segurança, e ela notifica usuários sobre alterações em seu código de segurança. Sabemos que o principal motivo para que isso aconteça é que as pessoas troquem de celular ou reinstalem o WhatsApp. Isso acontece porque, em muitas partes do mundo, as pessoas frequentemente trocam de aparelho e de chip. Nessas situações, queremos garantir que as mensagens enviadas a elas sejam entregues e não fiquem perdidas no caminho”.

Steffen Tor Jensen, vice-presidente de segurança da informação e de combate à vigilância digital na Organização Europeia-Bahraini para os Direitos Humanos, verificou as descobertas de Boelter. “O WhatsApp pode efetivamente continuar lançando as chaves de segurança quando os dispositivos estão offline e reenviando a mensagem, sem deixar os usuários saberem da mudança até que ela tenha sido feita, fornecendo uma plataforma extremamente insegura”, disse ele ao jornal.

A professora Kirstie Ball, fundadora do Centro de Pesquisa em Informação, Vigilância e Privacidade, chamou a existência de atalho dentro da criptografia do WhatsApp “uma mina de ouro para agências de segurança” e “uma enorme traição à confiança do usuário”.

“É uma enorme ameaça à liberdade de expressão. Os consumidores dirão, eu não tenho nada a esconder, mas você não sabe que informação é procurada e que conexões estão sendo feitas”, completa.

Ativistas de privacidade disseram que essa vulnerabilidade é uma “enorme ameaça à liberdade de expressão” e advertiram que ela pode ser usada por agências governamentais para espionar as pessoas, que acreditam que suas mensagens são seguras.

NO BRASIL: JUSTIÇA X WHATSAPP

Desde 2015, a Justiça brasileira e o WhatsApp já travaram algumas disputas e o acesso ao aplicativo já foi bloqueado por quatro vezes. Em dezembro de 2015 e em julho de 2016, a empresa alegou não poder fornecer conteúdo de conversas de investigados de crimes, já que as mensagens são criptografadas.

O sigilo do conteúdo tem gerado discussão entre empresas e a Justiça. Abaixo, veja os casos de bloqueio ao app no país:

1ª vez – 25.02.2015

Em fevereiro do ano passado, um juiz do Piauí determinou o bloqueio do WhatsApp no Brasil, em razão de a empresa supostamente ter descumprido decisões anteriores relacionadas a investigações realizadas pela Polícia Civil do Estado. O motivo seriam crimes envolvendo crianças e adolescentes.

“Até pouco tempo atrás nós fazíamos interceptações telefônicas, mas hoje ninguém usa telefone [para falar], usa o WhatsApp. Para que se possa saber o que criminosos comunicaram, onde estão, é através dos apps”, diz o juiz Luiz de Moura Correia, do Piauí.

A decisão, contudo, foi suspensa por um desembargador do Tribunal de Justiça do Piauí após analisar mandado de segurança impetrado pelas teles e o aplicativo não chegou a ser bloqueado.

2ª vez – 17.12.2015

O desembargador Xavier de Souza, da 11ª Câmara Criminal do Tribunal de Justiça de São Paulo pediu o bloqueio do app como represália após a empresa se negar a quebrar o sigilo de dados devido a uma investigação criminal. A medida foi determinada pela 1ª Vara Criminal de São Bernardo do Campo.

“Nós estamos desapontados com a decisão míope de bloquear o acesso ao WhatsApp, uma ferramenta de comunicação da qual tantos brasileiros vieram a depender, e tristes de ver o Brasil se isolar do mundo”, disse à época Jan Koum, cofundador e presidente-executivo do WhatsApp.

O pedido inicial, de 48 horas de bloqueio, durou cerca de 12 horas.

3ª vez – 2.5.2016

O juiz Marcel Montalvão, da comarca de Lagarto (SE), pediu o bloqueio do aplicativo por 72 horas. O magistrado queria que a companhia repassasse informações sobre uma quadrilha interestadual de drogas para uma investigação da Polícia Federal, o que a companhia se negava a fazer.

O bloqueio, no entanto, durou 25 horas. O desembargador Ricardo Múcio Santana de Abreu Lima, do Tribunal de Justiça de Sergipe, diz que a proibição do app no Brasil gerou “caos social em todo o território” e determinou o desbloqueio.

“A suspensão dos serviços do WhatsApp já dura 24 horas e certo é também que gerou caos social em todo o território, com dificuldade de desenvolvimento de atividades laborativas, lazer, família etc.”, disse Santana.

O processo que culminou na determinação de Montalvão é o mesmo que justificou, em março deste ano, a prisão de Diego Dzodan, vice-presidente do Facebook, empresa dona do app, para a América Latina.

4ª vez – 19.7.2016

A juíza Daniela Barbosa de Souza, da 2ª Vara Criminal da Comarca de Duque de Caxias determinou o bloqueio. O motivo, assim como aconteceu em outras oportunidades no Brasil, envolve o fato de o aplicativo não compartilhar informações sobre investigações criminais.

A juíza determinou que o WhatsApp desabilitasse a criptografia que garante o sigilo das mensagens e permitisse o monitoramento das conversas de suspeitos de uma organização criminosa em Duque de Caxias em tempo real pelos investigadores. Ela já havia enviado três ofícios ao Facebook, dono do aplicativo, para que a ordem fosse cumprida. Mas a empresa se negou a atender à determinação, e foi por isso que a juíza mandou bloquear o serviço.

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*