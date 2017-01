Pub

Serviço de troca de mensagens garantia ser o mais seguro, mas um investigador provou que também está vulnerável a ataques e espionagem

O Facebook comprou o WhatsApp em 2014 e, desde então, a empresa tem trabalhado para garantir que o serviço de troca de mensagens instantâneas é o único no mundo a garantir de forma total a privacidade dos utilizadores: em abril de 2016, anunciava que as comunicações dos mais de mil milhões de subscritores do serviço, mesmo que intercetadas, só poderiam ser lidas pelo destinatário original.

A razão desta segurança máxima relaciona-se com a utilização de um sistema de encriptação, desenvolvido pela Open Whisper Systems, e que usa o protocolo Signal: a cada mensagem trocada no WhatsApp, o sistema gera uma chave de segurança que é trocada e verificada entre utilizadores, garantindo que não é possível o acesso por parte de terceiros, nem mesmo por parte da própria aplicação.

No entanto, e conforme revela esta sexta-feira o diário britânico The Guardian, o WhatsApp tem a capacidade de forçar o sistema a gerar novas chaves de encriptação quando os utilizadores estão offline: sem conhecimento do emissor ou do recetor, as mensagens enviadas que ainda não foram lidas podem ser reenviadas para uma terceira parte, porque são reencriptadas e é gerada uma nova chave de segurança. O recetor original da mensagem fica sem saber e o emissor só é notificado se tiver ativada a opção de ser avisado de eventuais encriptações nas definições da aplicação.

Esta falha provém de uma alteração que foi feita pelo WhatsApp ao protocolo Signal e foi descoberta por Tobias Boelter, um criptógrafo e investigador na área da segurança da Universidade da Califórnia. Segundo Boelter, "se uma agência de um governo pedir ao WhatsApp que revele os registos de mensagens, a aplicação pode efetivamente garantir este acesso devido às alterações nas chaves", explicou ao Guardian o especialista.

Boelter reportou esta possibilidade de aceder às mensagens do WhatsApp ao Facebook, proprietário da aplicação, logo em abril de 2016, mas foi-lhe dito que a empresa estava a par, que se tratava de um "comportamento esperado" e que os técnicos estavam a trabalhar para resolver a questão. Mas o Guardian verificou que a vulnerabilidade no WhatsApp persiste. Ao diário, Steffen Tor Jensen, líder do departamento de segurança de informação e contra-espionagem digital da European-Bahraini Organisation for Human Rights, uma organização não-governamental, disse que o WhatsApp consegue trocar continuamente as chaves de segurança quando os dispositivos estão offline e reenviar as mensagens sem que os utilizadores se apercebam da mudança antes de ela ser feita, fornecendo uma plataforma extremamente insegura.

Esta vulnerabilidade coloca em questão a alegada segurança do WhatsApp, que garantia ser o serviço mais eficaz e impermeável a tentativas de espionagem das mensagens trocadas. Vários ativistas denunciam a falha como uma "enorme ameaça à liberdade de expressão" - o WhatsApp é usado frequentemente em países com censura das comunicações - e já avisaram que poderá ser utilizada por agências governativas para espiar mensagens que os utilizadores julgavam transmitir sem o risco de serem intercetadas.