Meio Bit » Baú » Internet » Bug no WhatsApp permite que mensagens criptografadas possam ser acessadas [UPDATE]

Bug no WhatsApp permite que mensagens criptografadas possam ser acessadas [UPDATE]

Mais polêmica: bug no WhatsApp descoberto em 2016 (e não corrigido) permite que mensagens criptografadas sejam lidas por elementos externos, de hackers aos próprios devs do Facebook.

13/01/2017 às 15:05

UPDATE: aparentemente não foi descoberto um bug que cause tamanha porta de entrada no WhatsApp. Segundo a própria Whisper Systems, o Guardian teria publicado uma notícia exagerada ou mesmo falsa.

Segue abaixo a notícia original.


A gente sabe que nenhum sistema é 100% seguro, existem os mais e os menos confiáveis. Isso também se aplica aos mensageiros instantâneos como o Telegram e o WhatsApp, embora seja consenso que o último possua uma série de bugs de segurança além dos concorrentes. Agora descobriram mais um: pesquisadores informam que intermediários (hackers ou agências governamentais) podem sem muito esforço acessar as mensagens do app mesmo estando criptografadas.

E mais, o bug é antigo e mesmo tendo sido notificado o Facebook nada fez para corrigi-lo.

O bug foi descoberto por Tobias Boelter, pesquisador de criptografia e segurança da Universidade de Berkeley, na Califórnia. O segredo está em como o sistema de criptografia de ponta a ponta foi implantado no WhatsApp: por via de regra o geração de chaves únicas entre as pessoas impede que qualquer intermediário, os desenvolvedores do Facebook inclusos sejam capazes de ler o conteúdo das conversas. No entanto, o WhatsApp adotou uma versão modificada do protocolo Signal (o mesmo do Telegram), desenvolvido pela Open Whisper Systems onde o app tem o poder de forçar a troca de chaves de criptografia de um usuário que não esteja conectado na internet, sem que as outras partes sejam prontamente notificadas da mudança: o remetente não fica sabendo do que aconteceu e o destinatário, que estava offline só recebe a notificação depois do reenvio, se habilitou as notificações para tal nas configurações.

A partir desse momento todas as mensagens anteriormente marcadas como não entregues são protegidas com a nova chave e enviadas novamente, e é aí que os xeretas podem atuar: por um breve momento as mensagens não entregues ficam “destrancadas”, totalmente livres. Ao mesmo tempo que se trata de uma brecha para hackers, Boelter afirma que se autoridades exigirem que o WhatsApp quebre o sigilo do app em determinados casos, ele pode fazê-lo através dessa mudança de chaves criptografadas que pode ser forçada pelo app. Em teoria o servidor pode conseguir capturar a transcrição de conversas inteiras, não apenas de uma única mensagem. O problema, lembra o pesquisador não é do Signal e sim na forma como ele foi implementado: com baixa prioridade.

Agora a cereja do bolo: a vulnerabilidade foi descoberta em abril do ano passado e Boelter informou o Facebook na mesma época. Embora tenha respondido ao pesquisador que já estavam cientes do bug, considerava o bug como um “comportamento esperado” e nada foi feito; mais, a empresa jura de pé junto que o aplicativo é inviolável, 100% seguro e que não há como as mensagens serem acessadas nem pelos desenvolvedores, nem por ninguém. Só que não é verdade.

Em nota, um porta-voz do WhatsApp afirma que o envio automático após a troca forçada das chaves é feito “para garantir a entrega das mensagens”, independente dos riscos apresentados e pelos mais diversos motivos (troca de celulares, reinstalação do app, troca de número de telefone, troca ou perda do cartão SIM, etc.). De qualquer forma, a falha existe e não será corrigida já que para o Facebook, é mais importante garantir a entrega das mensagens do que protegê-las. Sem falar que tal backdoor intencional atende o desejo de certas agências governamentais.

Isso ainda vai longe…

Fonte: The Guardian.

relacionados


Comentários