Há alguns meses escrevi sobre um backdoor do WhatsApp que permitia que hackers acessassem todos os dados em qualquer telefone que executasse o WhatsApp [1]. O Facebook, sua empresa-mãe, afirmou na época que não tinha provas de que a falha já havia sido usada por atacantes [2].
Na semana passada, ficou claro que esse backdoor havia sido explorado para extrair comunicações privadas e fotos de Jeff Bezos – a pessoa mais rica do planeta – que infelizmente dependia do WhatsApp [3]. Como o ataque parecia ter origem em um governo estrangeiro, é provável que inúmeros outros líderes empresariais e governamentais tenham sido alvo [4].
No meu post de novembro, previ que isso aconteceria [5]. As Nações Unidas agora recomendam que seus funcionários removam o WhatsApp de seus dispositivos [6], enquanto pessoas próximas a Donald Trump foram aconselhadas a mudar seus telefones [7].
Dada a gravidade da situação, seria de se esperar que o Facebook/WhatsApp se desculpasse e se comprometesse a não plantar backdoors em seus aplicativos daqui para frente. Em vez disso, eles anunciaram que a Apple, não o WhatsApp, era a culpada. O vice-presidente do Facebook afirmou que o iOS, em vez do WhatsApp, havia sido hackeado [8].
Se você seguir meu blog, sabe que não sou exatamente um fã da Apple [9]. Os dispositivos iOS têm muitos problemas relacionados à privacidade. Mas este não foi um deles – por duas razões:
1) A vulnerabilidade de “vídeo corrompido” do WhatsApp estava presente não apenas no iOS, mas também em dispositivos Android e até mesmo Windows Phone. Ou seja, em todos os dispositivos móveis com o WhatsApp instalado.
2) Essa falha de segurança não estava presente em outros aplicativos de mensagens no iOS. Se Jeff Bezos tivesse confiado no Telegram em vez do WhatsApp, ele não teria sido chantageado por pessoas que comprometeram suas comunicações [10].
Consequentemente, o problema não era específico para iOS, mas para o WhatsApp.
Em seu marketing, o WhatsApp usa as palavras “criptografia de ponta a ponta” como algum encantamento mágico que, por si só, deve tornar todas as comunicações seguras automaticamente [11]. No entanto, essa tecnologia não é uma bala de prata que pode garantir privacidade absoluta por si só.
O Telegram lançou criptografia de ponta a ponta para comunicação em massa anos antes do WhatsApp seguir o exemplo, e estamos atentos não apenas aos pontos fortes, mas também às limitações dessa tecnologia. Outros aspectos de um aplicativo de mensagens podem tornar a criptografia de ponta a ponta inútil. Abaixo estão três exemplos do que pode dar errado.
Primeiro, existem backups. Os usuários não querem perder seus bate-papos quando mudam de dispositivo, então eles fazem backup dos bate-papos em serviços como o iCloud – muitas vezes sem perceber que seus backups não são criptografados. O fato de a Apple ter sido forçada pelo FBI a abandonar os planos de criptografia para o iCloud é revelador [12]. Essa é uma das razões pelas quais o Telegram nunca depende de backups em nuvem de terceiros, e os Chats Secretos nunca são copiados em nenhum lugar.
Segundo, existem backdoors. As agências de aplicação não estão muito felizes com a criptografia, forçando os desenvolvedores de aplicativos a plantar vulnerabilidades secretamente em seus aplicativos. Eu sei disso porque fomos abordados por alguns deles – e nos recusamos a cooperar. Como resultado, o Telegram é banido em alguns países onde o WhatsApp não tem problemas com as autoridades, mais suspeitas na Rússia e no Irã [13].
Backdoors geralmente são camuflados como falhas de segurança “acidentais”. Somente no último ano, 12 falhas desse tipo foram encontradas no WhatsApp. Sete deles foram críticos – como o que pegou Jeff Bezos [14]. Alguns podem dizer que o WhatsApp ainda é “muito seguro”, apesar de ter 7 backdoors expostos nos últimos 12 meses, mas isso é estatisticamente improvável. O Telegram, aplicativo usado por centenas de milhões de pessoas, incluindo chefes de Estado e grandes empresas, não teve problemas dessa gravidade nos últimos 6 anos.
Terceiro, existem falhas na implementação da criptografia. Como alguém pode ter certeza de que a criptografia que o WhatsApp afirma usar é a realmente implementada em seus aplicativos? Seu código-fonte está oculto e os binários dos aplicativos são ofuscados, tornando-os difíceis de analisar. Pelo contrário, os aplicativos Telegram são de código aberto e sua criptografia totalmente documentada desde 2013. O Telegram suporta compilações verificáveis para iOS e Android – o que significa que qualquer pessoa pode garantir que o código-fonte no GitHub e o aplicativo Telegram que você baixa sejam a mesma coisa [15]. Nenhum outro aplicativo de mensagens está fazendo isso para ambos os sistemas operacionais móveis, e pode-se começar a se perguntar por quê.
Não se deixe enganar pelo equivalente tecnológico de mágicos de circo que gostariam de focar sua atenção em um aspecto isolado enquanto executam seus truques em outro lugar. Eles querem que você pense na criptografia de ponta a ponta como a única coisa que você precisa procurar privacidade. A realidade é muito mais complicada.
Alguns poderiam dizer que, como fundador de um aplicativo rival, posso ser tendencioso ao criticar o WhatsApp. Claro que estou. É claro que considero os Chats Secretos do Telegram significativamente mais seguros do que qualquer meio de comunicação concorrente – por que mais eu estaria desenvolvendo e usando o Telegram?
No entanto, as declarações neste post são baseadas em fatos, não em preferência pessoal. E, assim como o código dos aplicativos Telegram, esses fatos são verificáveis e ainda mais suportados pelas fontes de terceiros abaixo. Quando se trata de segurança, ninguém deve tomar a palavra de ninguém como garantida.
—
Fontes
Por: Pavel Durov
Link Principal: https://telegra.ph/Why-Using-WhatsApp-Is-Dangerous-01-30-4
[1] Techspot: Hackers podem usar uma falha do WhatsApp na maneira como ele lida com vídeo para assumir o controle do seu telefone – 19 de novembro de 2019
[2] ZDNet: Os atacantes que usam a vulnerabilidade de arquivos de vídeo MP4 do WhatsApp podem executar remotamente o código – 18 de novembro de 2019
[3] Mecânica Popular: Como Jeff Bezos Foi Hackeado no WhatsApp—e Como Isso Pode Acontecer Com Você – 26 de janeiro de 2020
[4] Forbes: Se o iPhone de Jeff Bezos Pode Ser Hackeado Pelo WhatsApp, o Seu Também Pode – 22 de janeiro de 2020
[5] Pavel Durov: Um Novo Backdoor Foi Silenciosamente Encontrado No WhatsApp – 20 de novembro de 2019
[6] Reuters: ONU diz que autoridades barradas de usar o WhatsApp desde junho de 2019 por segurança – 23 de janeiro de 2020
[7] CNN: Especialista da ONU recomenda que Kushner mude seu telefone após suspeita de invasão saudita – 23 de janeiro de 2020
[8] Gizmodo: Facebook Dá Resposta Ininteligível ao Hack de Jeff Bezos, Decidindo Culpar o iOS – 26 de janeiro de 2020
[9] Pavel Durov: iCloud Agora É Oficialmente uma Ferramenta de Vigilância – 21 de janeiro de 2020
[10] Jeff Bezos: Não, obrigado, Sr. Pica-Pau – 7 de fevereiro de 2020
[11] BBC Radio 4: Temos a maior certeza possível de que a tecnologia de criptografia de ponta a ponta não pode ser invadida: Nick Clegg do Facebook – 24 de janeiro de 2020
[12] Reuters: Apple retirou o plano para criptografar backups depois que o FBI reclamou – 21 de janeiro de 2020
[13] (a) The Verge: Rússia ordena bloqueio imediato do aplicativo de mensagens Telegram – 13 de abril de 2018
(b) New York Times: Tribunal Russo Proíbe Aplicativo Telegram Após Audiência de 18 Minutos – 13 de abril de 2018
[14] Business Insider: WhatsApp divulgou 12 falhas de segurança no ano passado, incluindo 7 classificadas como ‘críticas’, depois que o telefone de Jeff Bezos teria sido hackeado – 28 de janeiro de 2020
[15] Telegram: Construções Verificáveis, Novo Editor de Temas, Enviar Quando Online e Muito Mais – 31 de dezembro de 2019
Por Que Usar o WhatsApp É Perigoso
📅