Uma 'porta dos fundos' no WhatsApp permite espionar mensagens criptografadas

WhatsApp

No verão passado o WhatsApp deixou bem claro nas janelas de chat que abrimos com nossos contatos, que já estava implementação de criptografia ponta a ponta para manter essas conversas mais seguras. Embora tudo pareça estar bem guardado, não está.

O Facebook afirma que ninguém consegue interceptar mensagens do WhatsApp, nem mesmo a própria empresa ou sua equipe, o que garante privacidade a bilhões de pessoas. Mas uma nova pesquisa mostra que a empresa poderia ler as mensagens devido à forma como o WhatsApp implementou seu protocolo de criptografia de ponta a ponta.

A porta aberta para suas mensagens no WhatsApp

Os investigadores afirmam que a vulnerabilidade é um 'maior desafio para a liberdade de comunicação livre"E pode ser usado por agências governamentais para" espionar "usuários que acreditam que suas mensagens são seguras. O WhatsApp tornou a privacidade e a segurança um importante ponto de venda e conseguiu se tornar a ferramenta de comunicação para ativistas, dissidentes e diplomatas.

Facebook

A criptografia ponta a ponta do WhatsApp relega na geração de chaves únicas segurança, usando o aclamado protocolo Signal desenvolvido pela Open Whisper Systems, e que são compartilhados e verificados entre os usuários para garantir que as comunicações são seguras e não podem ser interceptadas por um intermediário. De qualquer forma, o WhatsApp tem a capacidade de forçar a geração de novas chaves de criptografia para usuários offline, desconhecidos do remetente e receptor das mensagens, e fazer o remetente criptografar novamente as mensagens com novas chaves e enviá-las novamente para qualquer mensagem que não tenha foi marcado como enviado.

O destinatário não é notificado desta mudança na criptografia, enquanto o remetente apenas você é notificado se optou por criptografar os avisos das configurações e somente depois que as mensagens forem encaminhadas. Essa nova criptografia permite que o WhatsApp intercepte e leia as mensagens do usuário.

Como foi descoberto?

Essa porta dos fundos de segurança era descoberto por Tobias Boelter, pesquisador de criptografia e segurança da Universidade da Califórnia, Berkeley. Ele mesmo declarou:

Se o WhatsApp for solicitado por uma agência governamental para revelar seus registros de mensagens, pode efetivamente garantir o acesso devido à mudança nas chaves.

Tobias

Esta porta dos fundos não inerente ao protocolo de sinal. O aplicativo Open Whisper Systems, Signal, foi usado e recomendado pelo conhecido Edward Snowden, e não sofre da mesma vulnerabilidade. Se um destinatário alterar a chave de segurança enquanto estiver off-line, uma mensagem não será enviada e o remetente será notificado sobre a alteração nas chaves de segurança automaticamente ao encaminhar a mensagem.

Implementação de WhatsApp reenvia automaticamente uma mensagem que não chegou com uma nova senha sem notificar o usuário com antecedência ou pelo menos dar a ele a capacidade de evitá-lo.

Facebook já sabia de sua existência

Boelter relatou esta vulnerabilidade no Facebook em abril de 2016, mas foi dito que o Facebook estava ciente do problema e que na verdade era um comportamento esperado e que não estava "funcionando" ativamente. O engraçado é que o The Guardian verificou que a porta dos fundos ainda existe hoje.

Marca

Assim, o WhatsApp pode continuar a trocar chaves de segurança quando os dispositivos estão offline e, assim, encaminhar a mensagem, sem avisar os usuários sobre a alteração após ter sido feita, o que, em última análise, oferece um plataforma extremamente insegura.

É o próprio Boelter quem avisa:

Alguns podem dizer que esta vulnerabilidade só poderia ser usado para "espionar" mensagens exclusivas, não em conversas inteiras. Mas isso não é verdade se você considerar que o servidor WhatsApp pode enviar mensagens sem enviar a "mensagem que foi recebida pela notificação" do destinatário (ou o que sabemos clicando duas vezes), que os usuários não perceberiam. Usando a vulnerabilidade de retransmissão, o servidor WhatsApp pode obter posteriormente uma transcrição de toda a conversa, não apenas de uma única mensagem.

Esta vulnerabilidade, portanto, nos faz pensar sobre a verdadeira privacidade das mensagens enviadas por meio do serviço, utilizado em todo o mundo, inclusive por pessoas que vivem em regimes opressores.

Estamos falando sobre uma mina de ouro para agências de segurança e uma "grande traição à confiança do usuário". É ele mesmo um grande ataque à liberdade de expressão, sendo capaz de ver o que você está dizendo, se quiser. Muitos dirão que não têm nada a esconder, mas você não sabe para que as informações que estão sendo examinadas estão sendo usadas e quais conexões estão sendo feitas.

Além de, como já foi dito, ser o próprio WhatsApp que possui a privacidade e a segurança que oferece, algo que devemos questionar a partir de agora de acordo com as informações verdadeiras fornecidas pelo The Guardian.


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Blog da Actualidad
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.