Esta semana, o WhatsApp passou a usar criptografia ponta a ponta para todas as mensagens em todas as plataformas: Android, iOS, Windows Phone, BlackBerry, até mesmo o Nokia S40. Isso é ativado por padrão e funciona na versão mais recente do aplicativo.
Isso significa que nem mesmo os funcionários do WhatsApp podem ler as mensagens enviadas através de sua rede. No entanto, esta não se trata de uma rede anônima: por isso, ainda há alguns dados que estão fora da criptografia ponta a ponta.
>>> Como impedir que o Facebook use a agenda para ver contatos do WhatsApp
>>> Os dados que o WhatsApp cederia após uma integração com o Facebook
Vamos começar com os dados que são protegidos:
– todas as mensagens de texto
– todas as mensagens de voz
– todas as fotos
– todos os vídeos
– todos os arquivos
– todas as ligações VoIP pelo WhatsApp
Isso vale para conversas individuais e em grupo. Ambas usam a “criptografia de chave pública”: o usuário A pede uma chave pública ao servidor do WhatsApp que se aplique ao usuário B. O usuário A usa a chave pública para criptografar a mensagem. No entanto, ela também requer uma chave privada para ser lida, em posse apenas do usuário B.
Então, o que sobrou? Basicamente, seu número de celular e sua lista de contatos. Nos termos de privacidade, o WhatsApp avisa quais dados são coletados:
Você fornece algumas informações pessoais, como o seu número de celular, nome para notificações push (se aplicável), informações de cobrança (se aplicável), e informações do dispositivo móvel para o WhatsApp…
A fim de fornecer o serviço, o WhatsApp vai acessar periodicamente a sua lista de contatos no celular para localizar números de outros usuários WhatsApp (“dentro da rede”), ou categorizar outros números de celular como números “fora da rede”, que são armazenados como valores hash unidirecionais e irreversíveis.
O WhatsApp também informa os dados que são gravados nos servidores, incluindo quando cada mensagem foi enviada ou recebida:
Quando você usa o serviço WhatsApp, nossos servidores registram certas informações gerais que o nosso aplicativo envia sempre que uma mensagem é enviada ou recebida, ou se você atualizar ou solicitar qualquer informação de status, incluindo horário e data, mais os números de celular de origem e destino das mensagens.
“Não somos uma rede anônima”
Ou seja, as autoridades talvez não consigam fazer o WhatsApp revelar o conteúdo das mensagens – uma das exigências da Justiça no Brasil e também nos EUA – mas o serviço poderia tranquilamente informar com quem você conversou, e em quais dias e horários – são os metadados.
Isso não deve ser uma surpresa, porque o WhatsApp não é uma rede anônima. Você precisa se identificar através de um número de telefone, que normalmente precisa ser associado a um cliente. Até mesmo Jan Koum, chefe do WhatsApp, deixa isso claro. Em entrevista à Folha, ele diz:
Não somos uma rede anônima. Para usar o app, as pessoas precisam de um número de telefone que é associado à sua identidade, e as empresas de telecomunicação sabem quem é dono de qual número. Então eu acho que tratar-nos como uma rede anônima na qual as pessoas podem acessar e criar um usuário anônimo, pseudônimos, não é algo totalmente preciso. Os usuários ainda estão atrelados a uma identidade, a uma pessoa, um número de telefone que pertence a um ser humano.
E de fato, os termos de privacidade permitem ao WhatsApp divulgar seus metadados em casos específicos:
Nós podemos coletar e publicar Informações Pessoalmente Identificáveis e/ou informações não-pessoais identificáveis se isso for exigido por lei; ou na crença de boa-fé que tal ação é necessária para cumprir com leis estaduais e federais (como a lei americana de direitos autorais), leis internacionais ou para responder a uma ordem judicial, intimação mandado de busca ou equivalente; ou se, em nossa crença razoável, a segurança física de um indivíduo possa estar em risco ou ameaçada.
Alternativas
Outros serviços de chat seguro possuem termos semelhantes: eles criptografam as mensagens e não podem lê-las, mas guardam informações básicas sobre o usuário e metadados das conversas – e isso pode ser cedido às autoridades. O Bleep, aplicativo de conversas P2P do BitTorrent, diz em seus termos de serviço:
… o BitTorrent tem o direito de reter e/ou divulgar qualquer informação ou material, incluindo o seu conteúdo ou suas informações da conta (ou elementos dela) em posse do BitTorrent e em conexão com o uso dos Serviços para cumprir com a legislação aplicável, processo judicial ou pedido do governo…
O ChatSecure com plugin Orbit, recomendado pela Electronic Frontier Foundation, diz algo semelhante em sua política de privacidade: “o ChatSecure revela informações pessoalmente identificáveis apenas em resposta a uma intimação, ordem judicial ou outra solicitação governamental”.
Também temos o Signal, usado por Edward Snowden – no entanto, não conseguimos encontrar a política de privacidade no site da Whisper Systems, responsável pelo app. Eles forneceram tecnologia para a criptografia ponta a ponta do WhatsApp.
E o Telegram?
O Telegram possui uma política de privacidade que começa assim: “nós jamais compartilhamos seus dados com ninguém. Não”.
O serviço precisa coletar alguns dados para funcionar, é claro: isso inclui seu número de telefone, seus contatos e o nome deles. As mensagens, fotos, vídeos e documentos dos chats (exceto chats secretos) ficam nos servidores do Telegram – incluindo data, horário e remetente/destinatário – mas “todos os dados armazenados são fortemente criptografados, e as chaves de criptografia em cada caso ficam em vários outros locais em diferentes jurisdições”.
Quanto aos chats secretos, que usam criptografia ponta a ponta, as conversas não são armazenadas nos servidores do Telegram, nem mesmo o horário ou o remetente/destinatário: “depois de um curto período de tempo, já não sabemos quando ou para quem você enviou mensagens secretas”.
Algo semelhante vale para os arquivos enviados via chats secretos, como fotos, vídeos ou documentos. “O arquivo está tecnicamente em um dos servidores do Telegram”, diz a política de privacidade, “mas ele parece um pedaço de código indecifrável e aleatório para todo mundo, exceto para você e para o destinatário”.
O serviço continua: “nós não sabemos o que estes dados aleatórios representam, e não sabemos a qual chat ele pertence. Limpamos periodicamente esses dados aleatórios dos nossos servidores para economizar espaço em disco”.
Vale lembrar que os chats secretos do Telegram precisam ser ativados manualmente e não funcionam para conversas em grupo. No WhatsApp, a criptografia ponta a ponta é ativada por padrão para um bilhão de usuários e um bilhão de grupos. No entanto, o Telegram promete uma proteção de dados ainda maior que o WhatsApp, sem mesmo ceder metadados às autoridades.
Fotos por Microsiervos/Flickr