O WhatsApp sofre com questionamentos sobre a sua segurança e a privacidade de mensagens desde a aquisição pelo Facebook, em 2014. Por que uma companhia, que tem o negócio baseado em informações coletadas dos usuários, investiria US$ 19 bilhões na compra de um serviço deficitário? Dados. Tanto o WhatsApp como o Facebook negam reiteradamente que o conteúdo das mensagens seja bisbilhotado para a exibição de anúncios direcionados, tanto que, em 2016, o aplicativo passou a ser criptografado de ponta a ponta. A vulnerabilidade revelada nesta semana levanta ainda mais dúvidas em relação à segurança da plataforma.
— A criptografia protege a comunicação ponta a ponta, entre o remetente e o destinatário — explica Fabio Assolini, analista de segurança cibernética da Kaspersky Lab. — Se alguém interceptar a mensagem no meio do caminho, não consegue decifrá-la. Mas se o atacante consegue infectar o smartphone, como nessa vulnerabilidade, ele tem acesso a toda a comunicação recebida e enviada pelo aparelho.
As dúvidas em relação ao WhatsApp abrem espaço para concorrentes. Muitos usuários já buscam em programas como Signal e Telegram opções que consideram mais confiáveis.
— Não cheguei a abandonar completamente, mas o meu aplicativo de mensagens principal é o Telegram — relata o engenheiro de software Renoir Reis, justificando a permanência no WhatsApp pela presença de contatos que não estão no outro serviço. — Não digo que o WhatsApp não é seguro, mas o Telegram é mais transparente com o que faz com os meus dados. E o WhatsApp tem sempre a nuvem do Facebook por trás.
Envolto em polêmicas sobre o controle que tem sobre os dados coletados dos usuários, o Facebook está na mira de agências reguladoras e governos dos EUA e da União Europeia. Em depoimento ao Senado americano, em abril, o diretor executivo da companhia, Mark Zuckerberg, foi questionado se as mensagens trocadas no WhatsApp influenciavam os serviços de anúncios das plataformas da companhia. A resposta foi direta: “Não, nós não vemos o conteúdo no WhatsApp, ele é totalmente criptografado”.
Criptografia não é anonimato
Contudo, alertam especialistas, a criptografia não significa anonimato. As mensagens só podem ser vistas pelo celular que envia e pelo celular que recebe as mensagens. Da saída à chegada, o conteúdo é criptografado, com chaves únicas que só podem ser abertas nas duas pontas. Mas no processo de envio e recebimento de mensagens, os serviços coletam metadados, alerta Gaspari Bruno, pesquisador do Laboratório de Modelagem, Análise e Desenvolvimento de Redes e Sistemas de Computação da Coppe/UFRJ.
— Para fazer o roteamento das mensagens, os servidores precisam saber que você está enviando mensagem para a sua esposa ou para um grupo. E essa informação precisa estar aberta, para que a mensagem seja entregue corretamente — explicou Bruno. — Então, os aplicativos não sabem o conteúdo das mensagens, mas sabem com quem você fala, quando, de onde e com que frequência. E essas informações são relevantes.
O programador Leonardo Piccioni realizou um estudo comparando a segurança e a privacidade dos três principais aplicativos de mensagens — WhatsApp, Telegram e Signal — e chegou a conclusão que o WhatsApp é o mais duvidoso. A criptografia ponto a ponto foi implementada pela Open Whisper Systems, desenvolvedora do Signal. Entretanto, seu código não é aberto para que a comunidade de segurança possa avaliar sua eficácia.
— Em tese, a criptografia do WhatsApp é tão segura quanto a do Signal, mas não é possível auditá-la — comentou Piccioni. — É preciso confiar na palavra do Facebook.
O Telegram também possui criptografia ponta a ponta, em código aberto. Porém, o recurso está disponível apenas nas “conversas secretas”, não sendo ativado por padrão, nem está disponível nas conversas em grupo. Além disso, os metadados são armazenados e experimentos realizados por pesquisadores do Instituto de Tecnologia de Massachusetts demonstraram que eles são vulneráveis.
'Eu recomendo o Signal', diz pesquisador
Para minimizar esses riscos, o Signal não armazena metadados e está testando uma nova tecnologia batizada como “sealed sender”. Como nas cartas, para que uma mensagem seja entregue, é preciso identificar o destinatário. Porém, o emissor pode ser descartado. Essa é a ideia por trás da nova técnica: proteger com criptografia os dados de quem envia a mensagem.
— Se alguém me pergunta qual é o aplicativo mais seguro, eu recomendo o Signal — afirmou Piccioni.
Mas a escolha do aplicativo a ser usado não depende apenas do indivíduo, existe o efeito de rede. Não adianta estar no Signal sozinho, enquanto amigos e parentes estiverem no WhatsApp e no Telegram. Bruno destaca ainda que o aplicativo é apenas um dos pontos que podem ser vulneráveis na troca de mensagens. O WhatsApp, por exemplo, oferece o backup de mensagens em nuvem, onde as informações podem ser acessadas. E as conversas ficam disponíveis, sem qualquer proteção, nos smartphones.
— Quem controla as informações são os usuários. Se não publicar nada que seja sensível, nada de ruim vai acontecer. As pessoas devem ser os filtros. Não adianta usar um aplicativo super seguro e publicar dados bancários ou fotos íntimas num grupo — afirmou Bruno. — Na maioria das vezes, o problema da segurança não está na criptografia, mas no usuário.
Contra o Pegasus, criptografia não basta
A vulnerabilidade recém-descoberta pelo WhatsApp foi explorada por um software espião atribuído à companhia israelense NSO. Conhecido como Pegasus, ele é utilizado por governos e agências de inteligência para monitorar criminosos e suspeitos de ligação com grupos terroristas, mas existem relatos de jornalistas, advogados e ativistas de direitos humanos que tiveram seus smartphones comprometidos.
Contra uma arma tão sofisticada a criptografia ponta a ponta, por mais eficiente que seja para o usuário comum, é completamente inútil. Com apenas uma chamada pelo WhatsApp, os atacantes eram capazes de infectar o sistema operacional do aparelho da vítima, obtendo acesso ao microfone e a câmera, captura de tela, registro das teclas digitadas entre outras funções. Não é apenas o conteúdo das mensagens do WhatsApp que fica comprometido, mas todo o aparelho.
Em setembro do ano passado, um relatório divulgado pela Citizen Lab informou que rastros do Pegasus foram detectados em 1.091 endereços IP, em 45 países, incluindo o Brasil. Em seis deles havia suspeita de uso do programa para monitorar alvos da sociedade civil: Bahrein, Cazaquistão, México, Marrocos, Arábia Saudita e Emirados Árabes Unidos.
Veja também:
