No ano passado, o WhatsApp fechou uma importante brecha de segurança ao adicionar criptografia aos backups de bate-papo dos usuários armazenados no iCloud. Antes da mudança, os hackers poderiam, teoricamente, obter acesso aos arquivos de bate-papo do WhatsApp no iCloud usando ferramentas forenses de terceiros para acessar as mensagens subjacentes de forma legível.
Em vez de confiar no iCloud Drive para proteger os dados do cliente, a empresa de propriedade do Facebook adicionou uma chave de criptografia exclusiva criada pelo aplicativo WhatsApp.
Um porta-voz confirmou que os backups do iCloud agora estão sendo criptografados, dizendo à Forbes: "Quando um usuário faz backup de seus bate-papos pelo WhatsApp para o iCloud, os arquivos de backup são enviados criptografados".
Embora a Apple possua as chaves de criptografia do iCloud, cabe aos fabricantes de aplicativos usar a criptografia ao enviar dados do usuário para o iCloud. De acordo com o TechCrunch, uma empresa russa chamada Oxygen Forensics, que fornece ferramentas de hackers para dispositivos móveis e na nuvem, conseguiu gerar chaves de criptografia para os backups do WhatsApp no iCloud.
A solução alternativa exige que um invasor tenha acesso a um cartão SIM com o mesmo número de celular que o aplicativo usa para enviar um código de verificação para gerar a chave de criptografia para o backup do iCloud. Obviamente, o Oxygen ainda precisa do Apple ID e senha do usuário para obter acesso ao espaço do usuário do iCloud em primeiro lugar.
“Então, usando o SIM associado, a Oxygen disse que pode gerar a chave de criptografia para descriptografar os dados passando o processo de verificação novamente”, explica o TechCrunch. A Forbes sugere que o método poderia ser usado pela polícia na posse de um dispositivo em que a conta do WhatsApp foi excluída, mas os backups do iCloud não foram apagados.
Agora, o WhatsApp criptografa os backups do iCloud com uma chave que eles armazenam para você. Legal, mas não passa no teste da poça de lama. https://t.co/tkhTParp2K https://t.co/qdAaBVxzyT
- Filippo Valsorda (@FiloSottile) 8 de maio de 2017
Em outras palavras, depois de perceber que as ferramentas forenses poderiam ser usadas para baixar dados do WhatsApp criptografados de backups do iCloud de forma legível, o WhatsApp aumentou a segurança e silenciosamente implementou a criptografia para backups do iCloud no ano passado.
Você pode fazer backup de todo o seu arquivo de bate-papo do WhatsApp no iCloud tocando no Configurações no canto inferior direito do aplicativo. Agora toque Bate-papo, então Backup de bate-papo e finalmente bateu Fazer backup agora.
A propósito, o WhatsApp deve atualizar a redação da tela Backup de bate-papo porque afirma, de maneira um tanto confusa, que “as mídias e as mensagens de backup não são protegidas pela criptografia de ponta a ponta do WhatsApp enquanto no iCloud”.
