Backdoor no WhatsApp permite bisbilhotar mensagens criptografadas

0

Uma vulnerabilidade de segurança que pode ser usada para permitir que o Facebook e outros, possam interceptar e ler mensagens criptografadas, foi encontrada dentro do WhatsApp.

O Facebook afirma que ninguém pode interceptar as mensagens do WhatsApp, nem a empresa ou seus funcionários, garantindo a privacidade de seus usuários. Mas, na realidade não é bem assim, uma pesquisa mostra que a empresa na verdade poderia ler mensagens devido à maneira como o WhatsApp implementou seu protocolo de criptografia de ponta a ponta.

Militantes da privacidade e segurança disseram que a vulnerabilidade é uma “grande ameaça à liberdade de expressão” e advertiu que poderia ser usado por agências governamentais como uma porta dos fundos (backdoor) para espionar os usuários que acreditam que suas mensagens estão seguras

A criptografia de ponta a ponta usada no WhatsApp, baseia-se na geração de chaves de segurança única, usando o famoso protocolo Signal, desenvolvido pela Open Whisper Systems, que são negociados e verificado entre os usuários a garantia de comunicações seguras e não podem, em tese, ser interceptadas por um intermediário.

Funciona assim: você pede uma chave pública ao servidor do WhatsApp  para conversar com a sua namorada. Você usa a chave pública para criptografar a mensagem. No entanto, ela também requer uma chave privada para poder ler a mensagem, por isso que a mensagem não pode ser lida por outro usuário.

No entanto, o WhatsApp tem a capacidade de forçar a geração de novas chaves de criptografia para usuários offline,(quando por exemplo, o aparelho está sem bateria, troca de smartphone, reinstalação do app, hard reset, etc..) sem o conhecimento do remetente e o destinatário das mensagens e volta a re-criptografar as mensagens do remetente com novas chaves e enviá-las novamente para quaisquer mensagens que não foram marcadas como entregue, aqueles dois tiques.

O destinatário não fica sabendo desta mudança na criptografia enquanto o remetente é notificado, apenas, se ele optou por isso no aviso de criptografia em configurações, e só depois as mensagens serão enviadas novamente. Existe uma brecha, um tempo em que as mensagens estão livres de criptografia, podendo assim, tirar o sono de muita gente.

Esta nova criptografia de retransmissão, permite efetivamente que o WhatsApp intercepte e leia as mensagens dos usuários, sem você ficar sabendo.

A brecha de segurança foi descoberta por Tobias Boelter, um pesquisador de segurança e criptografia da Universidade Berkeley, na Califórnia, e pasme, em Abril de 2016. Ele disse ao The Guardian:

“Se o WhatsApp for convidado por uma agência do governo para divulgar seus registros de mensagens, ele efetivamente pode conceder acesso devido à mudança das chaves.”

O Facebook disse que tem conhecimento do problema, que este bug tem um “comportamento esperado” e não está trabalhado para consertar isso, além de afirmar que o WhatsApp é totalmente seguro e não fornece nenhum backdoor para os governos. O que não é verdade.

A vulnerabilidade do WhatsApp expõe a privacidade das mensagens enviadas através do serviço no mundo todo, inclusive por pessoas que vivem em regimes opressivos. O protocolo Signal é também utilizado por diversos aplicativos de mensagens, como o Telegram, Messenger, Google Allo, WhatsApp entre outros, alcançando mais de 1 bilhão de pessoas que estão agora, vulneráveis.

Steffen Tor Jensen, chefe de segurança de informação e vigilância digital na Organização Europeia-Bahraini pelos direitos humanos, verificou as conclusões do Boelter. Ele disse:

“WhatsApp efetivamente pode continuar sacudindo as chaves de segurança, quando os dispositivos estão off-line e re-enviar a mensagem, sem avisar os usuários da mudança até depois que ela foi feita, fornecendo uma plataforma extremamente insegura.”

Boelter disse:

“[alguns]poderiam dizer que essa vulnerabilidade só pode ser abusada para espionar ‘unicamente’ mensagens orientadas, não conversas inteiras. Isso não é verdade, se você considerar que o servidor do WhatsApp só pode enviar mensagens sem notificação de envio a ‘mensagem foi recebida pelo destinatário’ (ou o duplo tique ) os usuários podem não notar. Usando a vulnerabilidade de retransmissão, o servidor do WhatsApp então, mais tarde, conseguiria uma transcrição da conversa toda, não apenas uma única mensagem.”

Em nota, um porta voz do WhatsApp reafirmou que a falha existe e que não será corrigida, já que para o Facebook, é mais importante entregar a mensagem, ao invés de protegê-la.

WhatsApp_criptografia

Caso queira tentar se sentir um pouquinho mais seguro no WhatsApp, vá em Configurações>Conta>Segurança e ligue as notificações de segurança.

Fonte: The Guardian

Share.

About Author