Notícia postada originalmente em: https://brasil.elpais.com/brasil/2018/01/11/tecnologia/1515687235_967757.html
Um grupo de pesquisadores colocou à prova a segurança de vários aplicativos de mensagens. Descobriram que é possível acessar os grupos do WhatsApp, suas conversas e números de telefone, sem que os hackers encontrem medidas de segurança. No entanto, esta descoberta tem sua armadilha: para poder entrar nos grupos a partir dessa vulnerabilidade, é necessário ter acesso ao servidor do WhatsApp. Portanto, o Facebook minimiza a importância da descoberta com um argumento sólido, uma vez que, para explorar essa vulnerabilidade, seria necessário acessar seus ultraprotegidos servidores.
A descoberta desta potencial falha no sistema foi anunciada no âmbito do Real World Crypto, um concurso que reúne especialistas de segurança de todo o mundo e que puderam ouvir as explicações da equipe de pesquisadores da Universidade Ruhr de Bochum, que contrastaram a segurança do WhatsApp com os aplicativos Signal e Threema, os máximos expoentes em criptografia do mercado. Os dados não deixaram margem para dúvidas: quem tiver acesso aos servidores do WhatsApp, pode acessar sem problemas um determinado grupo do aplicativo de bate-papo e, a partir daí, tomar conhecimento das conversas e interlocutores. “A confidencialidade do grupo é interrompida no momento em que um membro não convidado consiga acessar todas as mensagens e lê-las”, afirmou Paul Rössler, um dos integrantes da equipe que identificou a vulnerabilidade.
O que está falhando, se o WhatsApp se vangloria justamente de contar com criptografia de ponta-a-ponta? A equipe descobriu que o aplicativo, pertencente ao Facebook, deixou uma brecha pela qual, em teoria, poderia se ter acesso aos grupos, confiando a segurança a seus próprios servidores. Ou seja: para entrar num grupo, o hacker deve ter acesso ao servidor da empresa, algo que parece bastante improvável quando se conhecem as medidas de segurança que as grandes firmas adotam. Visto esse tema, poderia se pensar que o acesso está bem blindado, e isso é exatamente o que sustenta Alex Stamos — chefe de segurança do Facebook — em seu perfil do Twitter, minimizando a notícia e sugerindo que o título da revista que a publicou, a prestigiosa Wired, foi bastante alarmista.
Stamos explica que os grupos do WhatsApp são configurados de uma forma que qualquer novo acesso é notificado aos demais membros. Portanto, qualquer acesso não desejado ao grupo seria rapidamente neutralizado. O aplicativo de mensagens utiliza o protocolo Signal e, a esse respeito, Moxie Marlinspike, um dos seus desenvolvedores, respaldou o WhatsApp. Ele disse, com ironia, que se uma plataforma incorpora segurança aos seus produtos, será um claro alvo para os pesquisadores. “É mais efetivo ser o Telegram: deixe a criptografia fora de tudo… menos do seu marketing”, escreveu, em referência à ausência opcional de criptografia nesse serviço de mensagens.