Brecha na criptografia do WhatsApp permite que mensagens sejam interceptadas

Equipe de Criação Olhar Digital13/01/2017 14h20

20160719201407
Publieditorial

A criptografia das mensagens do WhatsApp, inaugurada no ano passado pelo aplicativo para proteger as conversas dos usuários de possíveis espiões, pode não ser tão segura quanto se imaginava. Ao contrário do que prega o Facebook, parece que é possível, sim, interceptar mensagens enviadas pelo WhatsApp.

A descoberta foi feita por Tobias Boelter, pesquisador de segurança e criptografia na Universidade da Califórnia, em Berkeley, nos Estados Unidos. Segundo ele, a falha tem a ver com o modo como o WhatsApp lida com o protocolo Signal, usado no seu sistema de criptografia.

Quando um usuário manda uma mensagem para outro, o aplicativo gera uma chave que é trocada entre o remetente e o receptor e garante que aquela conversa é segura. Em outras palavras, é como uma chave que “tranca” a mensagem quando ela sai do seu celular e a “destranca” quando chega ao celular do seu contato.

Acontece que, se por algum motivo, se o receptor ficar offline depois que a mensagem foi enviada do smartphone do remetente, o WhatsApp gera uma nova chave de segurança. A primeira versão da criptografia é descartada e essa nova chave criptografa a mensagem de novo, pela segunda vez.

Ao “destrancar” a mensagem e “trancá-la” novamente com outra chave, o WhatsApp passa a ter acesso à sua conversa e pode até, em tese, ler suas mensagens, se quiser. O problema, segundo Tobias, não é do protocolo usado pelo app, mas sim da forma como ele é utilizado.

O protocolo Signal foi desenvolvido pela Open Whisper Systems e é usado em um outro aplicativo de mensagens criptografadas, também chamado Signal. Esse app é utilizado e recomendado por Edward Snowden, o ex-analista da NSA que revelou ao mundo os métodos de espionagem do governo norte-americano.

O Signal, que usa o mesmo sistema de criptografia, não sofre com essa falha de segurança. Se o destinatário fica offline durante a conversa, o app simplesmente avisa que a mensagem não pode ser entregue, obrigando o remetente a reescrever a mensagem e enviar de novo quando o contato ficar online.

Reprodução

Não é o que acontece no WhatsApp. O app até pode avisar o usuário quando sua chave de segurança for trocada, mas é preciso ativar esse alerta nas configurações do aplicativo. De qualquer forma, não há como impedi-lo. “Se o governo de algum país pedir ao WhatsApp para expor seus registros de mensagens, ele pode efetivamente fazer isso alterando as chaves de segurança”, explicou Tobias ao jornal britânico The Guardian.

O pesquisador ainda disse que o Facebook, dono do WhatsApp, foi informado dessa brecha em abril do ano passado. Segundo Tobias, porém, a empresa disse que se tratava de um “comportamento esperado”, e não se comprometeu a fazer qualquer coisa a respeito. Essa falha foi confirmada por outras organizações procuradas pelo Guardian, como a EBOHR (Organização Europeia pelos Direitos Humanos).

Em comunicado, o WhatsApp disse que sabe dessa circunstância e reforçou que os usuários podem ser notificados de alterações no protocolo de criptografia. “Nós sabemos que o motivo mais comum para isso acontecer [a troca de chaves de segurança] é quando um usuário troca de telefone ou reinstala o WhatsApp”, disse a empresa.

“Em muitas partes do mundo, as pessoas frequentemente trocam de aparelho e de cartões SIM. Nessas situações, queremos ter certeza de que as mensagens serão entregues e não perdidas no caminho”, afirmou ainda o WhatsApp. O comunicado, porém, não confirma se a empresa pode ou não ler as mensagens dos usuários graças a esse sistema de troca de chaves.

Reprodução

Não é a primeira vez que a privacidade prometida pelo WhatsApp é colocada em xeque por suas próprias ações. No ano passado, o app anunciou que passaria a compartilhar os dados dos usuários com o Facebook. A empresa chegou a ser processada pela Comissão Europeia por conta da mudança.

No Brasil, o serviço foi bloqueado mais de uma vez nos últimos anos por juízes que queriam que o WhatsApp liberasse dados de pessoas investigadas. Em todas as ocasiões, a empresa disse que era incapaz de acessar as conversas dos usuários. Se as alegações de Tobias forem verdadeiras, conclui-se que o WhatsApp poderia, sim, ter entregue à Justiça brasileira o que ela pedia antes de ser bloqueado.