Uma vulnerabilidade descoberta no serviço de mensagens do WhatsApp, que poderia permitir que mensagens codificadas fossem lidas, foi descrita como comportamento normal pelo WhatsApp. Esta vulnerabilidade é um ataque “homem no meio” e requer acesso ao servidor. Após a notícia inicial, o WhatsApp respondeu explicando que esta não era uma vulnerabilidade, mas um backdoor e que a empresa projetou o serviço de mensagens desta forma. O Facebook, proprietários da WhatsApp, já havia explicado que o serviço de mensagens do WhatsApp estava criptografado e que ninguém podia interceptar mensagens, mantendo as coisas seguras para seus bilhões de usuários. Os serviços usam o protocolo Signal (Sinal), pelo qual os usuários trocam e verificam chaves de segurança exclusivas, usadas para garantir uma conexão segura. No entanto, o serviço WhatsApp tem a capacidade de gerar novas chaves de criptografia para usuários offline sem o conhecimento de qualquer lado da conversa. Isso faria com que o remetente criptografasse mensagens não entregues com novas chaves, e essas mensagens poderiam ser lidas por um invasor. Além disso, as mensagens existentes também podem ser retransmitidas pelo servidor, o que significa que toda a conversação pode ser lida. O remetente seria notificado se eles tiverem optado por avisos de criptografia no aplicativo, mas somente após as mensagens terem sido reenviadas e a nova chave de criptografia usada.
Embora WhatsApp utiliza o protocolo de signal, partilhada com a aplicação do sinal , o protocolo não é a fonte da vulnerabilidade mas meramente como é implementado. Ao usar o sinal e essas circunstâncias acontecem, a mensagem não é reenviada e, em vez disso, o remetente é notificado. A vulnerabilidade de segurança foi descoberta por um pesquisador de segurança da Universidade da Califórnia, Berkeley, Tobias Boelter, que relatou a vulnerabilidade ao Facebook em abril de 2016. Na época, a empresa explicou que eles estavam cientes do problema e que era “comportamento esperado . “A empresa não tinha planos para trabalhar na questão e jornal britânico, o Guardian, verificou que a brecha existe hoje. A vulnerabilidade exige que o hacker tenha acesso a um servidor ou seja “excepcionalmente habilidoso”, e por isso é considerado fora do alcance da maioria dos criminosos – mas não uma ordem judicial. Além disso, se uma agência governamental interceptar mensagens usando o servidor WhatsApp, as notificações serão enviadas a qualquer pessoa com o serviço de notificação habilitado em seus dispositivos. Isso seria extremamente óbvio e visível para todos os usuários do WhatsApp, sem dúvida mais óbvio do que uma atualização para o aplicativo removendo criptografia de ponta a ponta.
WhatsApp é usado por clientes em todo o mundo, incluindo em regimes opressivos. A vulnerabilidade do WhatsApp já foi descrita pela professora Kirstie Ball, fundadora do Centro de Pesquisa em Informação, Vigilância e Privacidade, como “uma mina de ouro para agências de segurança” e “uma enorme traição à confiança do usuário. Liberdade de expressão, para poder olhar para o que você está dizendo, se quiser. “A questão levantou a questão de que este tipo de ataque de servidor poderia ser usado por empresas ou agências governamentais. O artigo fonte explica que o WhatsApp se tornou “uma ferramenta de comunicação para ativistas, dissidentes e diplomatas”.
No entanto, enquanto grupos de privacidade estão expressando quão infelizes eles estão com o serviço WhatsApp, infelizmente já existem estruturas legais em vigor em todo o mundo que encorajam ou exigem que as empresas retem pelo menos a capacidade de permitir o acesso à informação. No caso do Reino Unido, a Lei de Poderes de Investigação permite que dados significativos sejam interceptados pelo mesmo sem a suspeita de atividade criminosa. Além disso, o governo tem a capacidade de exigir que as empresas mantenham a capacidade de interceptar dados do usuário e remover a “proteção eletrônica”. A vulnerabilidade do WhatsApp pode ter sido projetada com este quadro legal em mente.
A WhatsApp, falando com o jornal The Guardian, explicou que o serviço é “simples, rápido, confiável e seguro”. O porta-voz explicou que, em 2016, a empresa ativou a criptografia por padrão, mas que “se concentra em manter o produto simples e levar em consideração como É usado diariamente em todo o mundo “. Uma das razões para permitir a vulnerabilidade de retransmissão é se os clientes mudam seu aparelho ou reinstalam o aplicativo ea empresa queria” garantir que as mensagens das pessoas sejam entregues, não perdidas em trânsito “. Não responder diretamente se o WhatsApp já tivesse acessado mensagens por solicitação de um terceiro ou de uma agência governamental, mas, em vez disso, aconselhou visitar a página do site mostrando os pedidos de dados agregados do governo por país. Essencialmente, o WhatsApp está usando um menor nível de segurança para que os usuários que mudam cartões SIM ou aparelhos não perdem suas mensagens e contatos. Embora o WhatsApp seja diferente do Signal, a empresa considera que sua base de usuários é diferente do Signal, onde a segurança é menos crítica do que a facilidade de uso.
Embora a vulnerabilidade do WhatsApp seja difícil de usar sem notificar o destino, ela ainda existe. WhatsApp, e pai Facebook, poderia estar a tentar negociar entre manter os dados dos clientes segura e em conformidade com a lei. Para o usuário que deseja a melhor segurança, o Signal é o serviço de mensagens que Edward Snowden recomenda ea história do WhatsApp não altera isso. A indústria está trabalhando para tornar o processo de criptografia mais visível para os clientes sob a solução de “transparência chave”: o Google já está construindo um sistema de transparência chave, mas a questão dentro da indústria ainda é como a tecnologia de criptografia fica visível sem ser confusa?
Fonte: Android Headlines
Sobre a Webglobe
Fundada em 2004, a Webglobe gerencia computadores, notebooks, servidores e dispositivos móveis, utilizando softwares de última geração para monitoramento e gestão da infraestrutura de tecnologia. Nosso fluxo de trabalho é baseado em processos e nossa gestão é apoiada nas boas práticas de ITIL e COBIT, permitindo entregar serviços gerenciados de tecnologia com qualidade e foco nos negócios de nossos clientes.
