O The Guardian publicou no início deste ano uma notícia sobre uma backdoor presente no WhatsApp que permite espiar as mensagens ditas “encriptadas”.

Algo que vai totalmente contra a filosofia das comunicações encriptadas. E isso é uma péssima notícia!

   

Principalmente para os utilizadores que acreditam que as suas comunicações estão seguras ao usar esse serviço.

Desde o ano passado que o WhatsApp promete uma encriptação end-to-end para todas as mensagens enviadas através da aplicação.

Ou seja, só o emissor da mensagem e o receptor poderiam ter acesso ao conteúdo da mesma.

Vê ainda: Contas do WhatsApp são facilmente comprometidas através do envio de simples imagens

Porém, se nos segues, sabes que a 4gnews sempre alertou para que tal situação seria muito difícil de acreditar. Basta reveres aqui este artigo com quase um ano.

Já se sabe que o WhatsApp viola essa promessa

Seja através do empurrão dos utilizadores para backups não encriptados de terceiros. Ou através da desactivação, por defeito, das notificações de alteração da chave criptográfica, o WhatsApp não garante o que alega.

Ambas as situações foram alertadas, em sede própria, pela Electronic Frontier Foundation.

Mas, como se isso não bastasse, o WhatsApp pode accionar remotamente alterações à chave criptográfica e reenviar mensagens usando uma nova chave.

E pode fazê-lo mesmo quando os utilizadores não solicitaram tal alteração. O que é absolutamente inaceitável.

Garantia altamente duvidosa por parte do WhatsApp

Conclusão? O WhatsApp é capaz de obter transcrições de conversas inteiras sem enviar notificações aos participantes.

Uma notificação post factum só será enviada se o utilizador tiver activado as notificações de alteração da chave anteriormente.

O Facebook coopera com regimes opressivos

Ou seja, quando o WhatsApp alega que as mensagens enviadas através da aplicação estão protegidas com encriptação end-to-end e que isso significa que o WhatsApp e terceiros não podem ler as respectivas mensagens, essa afirmação é totalmente falsa.

E é importante que se diga isto.

Se não vejamos, o WhatsApp tem todos os meios, por exemplo, para responder a um pedido de acesso a dados ou informação de um regime opressivo.

Mark Zuckerberg no China Development Forum

Por exemplo, o New York Times descobriu, o ano passado, que o Facebook, proprietário do WhatsApp, não se importa de cooperar com regimes opressivos.

O WhatsApp admite que tem acesso às tuas mensagens

A resposta oficial da WhatsApp foi que a backdoor é uma design decision, para garantir que as mensagens não sejam perdidas, confirmando que, de facto, existe uma backdoor.

O fundador do Signal e o advogado do WhatsApp, Moxie Marlinspike, já disseram que o servidor do WhatsApp não sabe se o utilizador activou, ou não, as notificações de alteração de chave.

Mas é aqui que outro problema central com o WhatsApp surge. Não podemos saber se a declaração de Marlinspike é verdadeira, ou não, sem olhar para o código da aplicação.

Só que o código do WhatsApp é proprietário. Legalmente protegido contra engenharia reversiva.

E as conclusões são…

Ao contrário das declarações da empresa, não há como garantir que os teus dados estejam seguros e que os únicos que podem ler as mensagens trocadas entre ti e outra pessoa sejas só tu e essa outra pessoa. Porquê?

  • Os outros utilizadores podem decidir se os teus dados e as tuas conversas irão parar a backups não encriptados de terceiros e sem que tu saibas.
  • Os servidores do WhatsApp decidem quais chaves a usar para encriptar as tuas mensagens, decidem quando alterar essas chaves e quando reenviar as mensagens e só te avisam caso tenhas activado essa funcionalidade de aviso previamente.
  • O código fechado do WhatsApp torna impossível verificar quaisquer afirmações sobre como está a ser feita a implementação da encriptação end-to-end.

E o Telegram tem o mesmo problema?

A resposta é, desde já, um rotundo não! Em contraste, a abordagem do Telegram é totalmente transparente!

É o utilizador que decide que tipo de encriptação será usada para qualquer mensagem em particular.

Para satisfazer a necessidade das pessoas de fazer backups e sincronizar de forma segura, o Telegram oferece uma encriptação de server-client e backups internos seguros.

Os centros de dados e as chaves de encriptação relevantes estão espalhadas por diferentes jurisdições ao longo do mundo para proteger os utilizadores de solicitações governamentais.

Vê ainda: Telegram revoluciona interação com o Android Wear 2.0

Para os dados mais sensíveis, os Secret Chats garantem uma encriptação end-to-end.

Ao contrário do WhatsApp, quando tu envias uma mensagem através de um Secret Chat, podes ter 100% de certeza de que ninguém, incluindo o servidor do Telegram, conhece o conteúdo dessa mensagem.

Pavel Durov, um dos fundadores do Telegram (Crédito: Silicon Allee News)

Os Secret Chats no Telegram são específicos para cada dispositivo. E, ao contrário do WhatsApp, eles também são específicos para cada sessão.

Ou seja, se tu entras num novo dispositivo, ou inicias sessão num novo smartphone e o Telegram abre um novo Secret Chat e cria uma entrada para as mensagens totalmente nova.

Aparece, assim, uma nova conversa, visivelmente separada da antiga na lista de conversas.

Isso serve como um indicador muito mais proeminente de que uma mudança fundamental ocorreu e, mais importante, este é o comportamento que está definido por defeito.

Não é necessário activar quaisquer configurações extra, ao contrario do WhatsApp.

O Telegram é open source

O Telegram não tem meios de forçar, secretamente, uma mudança da chave criptográfica, de encriptar mensagens com uma chave comprometida ou de reenviar mensagens.

E isso também é verificável.

Pois, não só a especificação do protocolo do Telegram é open source, como, ao contrário do caso do WhatsApp, o código da aplicação também é aberto.

Graças a isso, os investigadores têm todas as ferramentas para avaliar completamente a implementação que o Telegram tem da encriptação end-to-end.

Outros assuntos relevantes:

Galaxy S8 será capaz de gravar vídeos a 1000 frames por segundo (fps)

Huawei P10 Lite já está em pré-venda em Portugal

Vídeo mostra iPhone 6 Plus a explodir em loja de reparação