Hoje o jornal britânico The Guardian publicou uma matéria com uma manchete alarmante: “Backdoor no WhatsApp permite interceptar mensagens criptografadas”. O fato teria grandes implicações sobre a segurança e privacidade dos mais de um bilhão de usuários do aplicativo.

No entanto, não existe exatamente uma brecha no WhatsApp. O cenário é bem mais complicado do que parece.

• WhatsApp passa a usar criptografia ponta a ponta em todas as mensagens e plataformas
• Justiça Federal de São Paulo vai começar a enviar intimações via WhatsApp

O WhatsApp implementou no começo do ano passado o melhor padrão para mensagens seguras, o chamado protocolo de criptografia Signal.

Encontrar um backdoor no Signal, significa que alguém conseguiu quebrar o que é considerado por todos o melhor esquema de criptografia disponível publicamente. Mais de um bilhão de pessoas que dependem do protocolo Signal, utilizado em diversos aplicativos de mensagens, de repente estariam vulneráveis a espionagem de governos ou interceptações maliciosas dos seus chats.

No entanto, Vários pesquisadores de segurança reagiram à matéria do Guardian nesta manhã, basicamente falando que o conteúdo era alarmante demais.

Fredric Jacobs, ex-desenvolvedor iOS na Open Whisper Systems – o coletivo que desenhou e mantém o protocolo Signal – e que recentemente trabalhou na Apple, comentou:

É ridículo que isso seja apresentado como um backdoor. Se você não verificar as chaves, a autenticidade delas não é garantida. É um fato bem conhecido.

Alec Muffett, experiente pesquisador de segurança que já trabalhou no time de Engenharia de infraestrutura de segurança do Facebook, disse ao Gizmodo que “não se trata de um bug”. “Tudo está funcionando da forma com a qual foi projetado e alguém está dizendo que é uma ‘falha’ e fingindo que é um absurdo, quando na verdade é algo desprezível”, comentou.

O que acontece com a criptografia do WhatsApp?

O WhatsApp usa algo chamado de “criptografia de chave pública”. O usuário A pede uma chave pública ao servidor do WhatsApp que se aplique ao usuário B. O usuário A usa a chave pública para criptografar a mensagem. No entanto, ela também requer uma chave privada para ser lida, em posse do usuário B – por isso ela não pode ser lida por outro usuário.

O suposto backdoor que o Guardian descreveu é, na verdade, uma característica que funciona como deveria. Para realmente ser uma brecha, seria preciso uma imensa colaboração do Facebook para interceptar as mensagens criptografadas de alguém, algo que a companhia dificilmente faria.

“Quando alguém troca de telefone, compra um smartphone novo ou restaura as configurações de fábrica e continua a conversa, as chaves de criptografia do WhatsApp precisam ser renegociadas para acolher esse novo telefone”, disse Muffet ao Gizmodo.

“Digamos que estou enviando mensagens para você, e seu telefone está offline porque está sem bateria, ou sem sinal, ou qualquer coisa. Algumas mensagens ‘aguardam’ no meu celular, esperando para falar com o seu. A proposição é que essa condição: mensagens em espera, combinadas com alguém em conluio com o Facebook, poderia ‘imitar’ a ‘pessoa que tem o aparelho nessas condições’. Isso poderia fazer com que mensagens em espera fossem re-encriptadas e enviadas para um celular novo, falsificado ou contaminado”.

É por isso que de vez em quando você pode recebe uma mensagem e o conteúdo dela apresenta este alerta: “Aguardando por esta mensagem. Isso pode demorar um pouco. Saiba mais”. Em outros aplicativos de mensagens, o emissor precisaria reenviar o texto, já que o conteúdo seria perdido sem a renegociação das chaves.

O fato do processo de intercepção ser tão difícil faz muitos especialistas não considerarem como um backdoor. Quando a reportagem do Guardian perguntou ao Facebook sobre a possível brecha e eventuais pedidos de governos, a companhia afirmou que “o WhatsApp não dá aos governos nenhum ‘backdoor’ aos seus sistemas e enfrentaria qualquer pedido de governos para a criação de uma brecha”.

Aparentemente, não precisamos nos preocupar. Se você quiser ficar por dentro dessas renegociações de chaves durante as suas conversas, acesse as Configurações do WhatsApp, depois vá no menu “Conta”, em seguida em “Segurança” e ative as notificações.

Você pode ainda ficar com um pé atrás, no entanto. No ano passado, o WhatsApp deixou de lado o seu compromisso de privacidade quando anunciou que iria compartilhar dados dos usuários com o Facebook.

Imagem: AP.