No ano passado, vimos a criptografia ponta-a-ponta chegar ao WhatsApp Messenger e, para todos os efeitos, esta seria a grande medida de segurança para manter as mensagens somente entre os participantes da conversa (nem mesmo o mensageiro poderia acessar). Mas será mesmo que isso acontece?
O jornal The Guardian divulgou que o especialista em criptografia e segurança Tobias Boelter descobriu uma vulnerabilidade no mensageiro, a qual permitiria à empresa ter acesso a conversas. Isso gerou um grande problema, principalmente porque o veículo sugeriu que tal brecha poderia ser usada pelo governo a fim de conseguir informações que desejasse.
Você conhece bem isso, certo? O mensageiro já “sofreu” nas mãos da justiça brasileira, que bloqueou várias vezes o serviço para tentar obrigar o Facebook a liberar conversas para casos de investigação; a empresa, contudo, alegava não poder acessá-las. Entretanto, se realmente essa vulnerabilidade existir e estiver sendo utilizada pela companhia, podemos ver muitos outros bloqueios ou até coisas mais sérias ocorrendo aqui pelo Brasil.
O que foi apresentado pelo Guardian como uma backdoor seria a modificação de chaves de criptografia. Imagine o seguinte cenário: você envia uma mensagem para um amigo que está com o telefone desligado (sem bateria, por exemplo). As mensagens enviadas ficam “guardadas” no seu aparelho até que sejam de fato entregues; mas neste momento, com o aparelho do destinatário desligado, sem sinal ou algo do gênero, alguém (o governo, por exemplo), com a ajuda do Facebook, poderia interceptar a mensagem, “imitar” um novo aparelho (um iPhone novo que o seu amigo comprou) e “pescar” as mensagens enviadas gerando novas chaves de criptografia.
A grande questão, aqui, é que isso aparentemente é algo bastante conhecido por pessoas da área, sendo uma manobra extremamente difícil de fazer — conforme explicou o pesquisador de segurança Alec Muffet ao Gizmodo.
A estrutura do aplicativo é baseada no protocolo Signal, criado pela Open Whisper Systems. O protocolo é a maneira mais segura que há atualmente para proteger dados de mensageiros. Fredric Jacobs (que trabalhou na criação do Signal e foi contratado pela Apple recentemente) deixou clara a sua opinião no Twitter:
It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.
— Frederic Jacobs (@FredericJacobs) 13 de janeiro de 2017
É ridículo que tenham apresentado isso como uma backdoor. Se não se verificam as chaves, a autenticidade delas não é garantida. Isso já é conhecido.
Tentando refutar a publicação do Guardian, representantes do app afirmaram que não deram nenhuma backdoor para o governo (o que não foi bem o que o jornal alegou), mas que, na verdade, essa “decisão de design” era algo para “impedir que milhões de mensagens fossem perdidas” e que eles enviam notificações sempre que há riscos ao usuário.
Apesar de parecer apenas uma “desculpa” da empresa, vários especialistas concordaram; Muffet ainda acrescentou: “Não é um bug, ele está funcionando assim como foi projetado para funcionar; dizem que é uma “falha” e acham que o céu está caindo quando, na verdade, isso é algo ignorável.”
Uns falam daqui, outros refutam dali; mas ao que parece, não é preciso todo esse alvoroço. Por enquanto, a única coisa que você precisa se preocupar é com o compartilhamento dos seus dados com o Facebook. 😜
[via 9to5Mac]
