O WhatsApp é seguro com nova criptografia?

Compartilhar

O serviço de mensagens mais popular do mundo, o WhatsApp tem hoje mais de um bilhão de usuários. E agora, o WhatsApp é seguro?

A praticidade e aderência como o nosso cotidiano deve ser o motivo de grande sucesso. Se comunicar com tantas possibilidades: texto, fotos, vídeos, voz, e até ligações sem custo algum é um apelo significativo para todos. Lembrando obvio que quando falo que não tem custo, estou falando do aplicativo, porque insisto em lembrar que a transmissão de dados é paga, ou pelo usuário em sua franquia de dados, ou pelo trafego em redes WIFI, alguém sempre paga a conta!

O único pecado que o Whatsapp incorria era na privacidade, o seu grande ponto fraco. O que lhe rendia baixa reputação em entidades que avaliam esses aspectos das comunicações digitais. A EFF ( http://www.eff.org ), uma organização sem fins lucrativos que busca a defesa dos indivíduos no mundo digital, categoriza os aplicativos pela ótica de segurança, O WhatsApp detinha dois míseros pontos (ou estrelas, como preferirem) de sete possíveis pontos.

Todavia, no dia 5/4/2016, o WhatsApp anunciou a implementação de criptografia ponta-a-ponta.

O que mudou no WhatsApp e como isso nos impactará?

A criptografia

A implementação inicial de criptografia do WhatsApp foi o protocolo tipicamente usado por contas de e-mails, o SSL e TLS. Da maneira que foi implementada, parte dos dados não eram codificados e a outra possuía falhas que permitiam que as mensagens fossem roubadas e decodificadas. Essa criptografia mal implementada lhe rendia um resultado sofrível do mercado de cibersegurança com relação ao aplicativo.

A nova implementação do aplicativo anunciou que a Open Whisper Systems forneceria o protocolo de criptografia. Essa empresa é a desenvolvedora do Signal e do RedPhone, ambos com a nota máxima (sete) da EFF.

Agora que o WhatsApp utiliza o protocolo do Signal atingiu quase o mesmo nível de segurança dos concorrentes. Desde o anúncio, a EFF mudou a nota do WhatsApp para 6 de 7 pontos possíveis.

Mas afinal o que mudou?

Nem funcionários do WhatsApp conseguem decodificar e ler as mensagens dos usuários.
O mecanismo de verificação de integridade do canal e de identidade. Quando uma conversa começa, o usuário pode ter certeza de que está conversando com a pessoa certa.
As senhas de criptografia. Caso alguém consiga descobrir a senha, o intruso só conseguirá ver uma parte da conversa, já que os diálogos anteriores estariam indisponíveis.
Registros relacionados a implementação do protocolo do Signal no WhatsApp. Essa medida permite que o público, incluindo profissionais em criptografia, revisem o design do protocolo e garantam que as senhas sejam geradas e armazenadas em segurança.

O WhatsApp não recebeu a certificação máxima por não divulgar seu código fonte. Isso se dá quando os desenvolvedores abrem os códigos fonte ao público. As comunidades e usuários podem unir seus esforços para encontrar novas vulnerabilidades e tornar a solução mais segura.

De qualquer forma, nota 6 é a nota mais alta que os serviços de mensagens mais populares tem conseguido alcançar. Por exemplo, o Skype continua com nota um. O principal rival do WhatsApp, o Viber, possui dois. Entre os aplicativos populares, apenas o Telegram pode competir com o WhatsApp em termos de segurança, ele possui nota 7 de sete possíveis pontos.

Como saber se está criptografada?

Do ponto de vista funcional, para saber se uma conversa já está criptografada de ponta-a-ponta, basta acessar a tela de dados do contato ou do grupo. Um cadeado fechado ou aberto e uma mensagem explicativa aparecem logo abaixo de recursos como silenciar e notificações personalizadas.

Quando as mensagens não estiverem criptografas, a informação aparecerá na tela da esquerda. No caso dos grupos, um toque na mensagem revela quais integrantes precisam atualizar o aplicativo para a versão mais recente.

Isso dificulta a interceptação de dados das conversas eletrônicas, mas nunca se esqueçam de apaga-las e rodar softwares de destruição de dados (wipe).

Ricardo Esper – Especialista em segurança da informação, privacidade digital e cibersegurança

http://www.bnsec.com.br
http://ricardoesper.com.br/2016/04/whatsapp-seguro/