Em 2016, o WhatsApp finalmente ativou a criptografia completa de ponta a ponta para bate-papos e videochamadas, para garantir que ninguém, exceto o destinatário pretendido, possa decifrar o conteúdo de suas comunicações. Infelizmente, ficou claro que o sistema do WhatsApp foi atormentado por uma grande vulnerabilidade descoberta por Tobias Boelter, pesquisador de criptografia e segurança da Universidade da Califórnia em Berkeley..
Em entrevista ao jornal britânico The Guardian, Boelter disse que o backdoor pode permitir que o Facebook leia conteúdo criptografado de ponta a ponta, o que significa que a rede social pode ser cumprida com ordens judiciais para disponibilizar mensagens descriptografadas para policiais e outras agências governamentais
ATUALIZAR: Recebemos uma resposta do WhatsApp sobre o suposto backdoor.
Um porta-voz do WhatsApp forneceu a seguinte declaração ao iDownloadBlog, explicando por que a reivindicação do The Guardian de segurança potencialmente comprometida é falsa.
O Guardian postou uma história nesta manhã alegando que uma decisão intencional de design no WhatsApp que impede as pessoas de perder milhões de mensagens é uma "porta dos fundos", permitindo que os governos forçam o WhatsApp a descriptografar os fluxos de mensagens. ** Esta afirmação é falsa. **
O WhatsApp não fornece aos governos uma "porta dos fundos" em seus sistemas e combateria qualquer solicitação do governo para criar uma porta dos fundos. A decisão de design mencionada na história do Guardian impede que milhões de mensagens sejam perdidas e o WhatsApp oferece notificações de segurança às pessoas para alertá-las sobre possíveis riscos à segurança.
O WhatsApp publicou um white paper técnico sobre seu design de criptografia e foi transparente com relação às solicitações governamentais recebidas, publicando dados sobre essas solicitações no Relatório de Solicitações Governamentais do Facebook. (https://govtrequests.facebook.com/)
A criptografia utilizada pelo WhatsApp é baseada no protocolo de sinal da Open Whisper Systems.
O que é suspeito aqui é que a mesma vulnerabilidade não está presente no aplicativo Signal. Boelter confirmou que a vulnerabilidade basicamente permite que o WhatsApp altere as chaves de criptografia para usuários offline. Como resultado, todas as mensagens não enviadas ou futuras serão enviadas com uma nova chave de criptografia sem que o destinatário perceba.
O remetente é notificado apenas se tiverem optado por receber avisos de criptografia nas configurações do WhatsApp, mas somente após o reenvio das mensagens. Essa re-criptografia e retransmissão efetivamente permite que o WhatsApp intercepte e leia as mensagens dos usuários.
Compare isso com o sistema de sinal acima mencionado, que notifica o remetente sobre qualquer alteração nas chaves de segurança sem reenviar automaticamente a mensagem. De fato, uma mensagem não será entregue pelo aplicativo Signal se ocorrer uma alteração nas chaves de criptografia.
Boelter relatou o problema ao Facebook em abril de 2016 apenas para saber que esse era um "comportamento esperado", levantando suspeitas de que esse poderia ser um backdoor criado deliberadamente, em vez de uma supervisão de engenharia ou algum tipo de bug..
Mais preocupante, o The Guardian verificou que a porta dos fundos ainda existe hoje.
Os defensores da privacidade criticaram o desenvolvimento como uma "enorme ameaça à liberdade de expressão", dizendo que ele poderia ser explorado por agências governamentais. A existência de um backdoor na criptografia do WhatsApp é "uma mina de ouro para agências de segurança" e "uma enorme traição à confiança do usuário", disse Kristie Ball, co-diretora e fundadora do Centro de Pesquisa em Informação, Vigilância e Privacidade..
De qualquer forma, o Facebook definitivamente deve ficar claro se a criptografia de ponta a ponta do WhatsApp foi ou não comprometida. E se assim for, surge a pergunta inevitável: o Facebook foi compelido por terceiros a construir um backdoor no WhatsApp?
O Facebook recusou o comentário, mas atualizaremos o artigo se e quando o fizerem.
Fonte: The Guardian
