WhatsApp protege mensagens, mas não sua privacidade

WhatsApp protege mensagens, mas não sua privacidade, e até mesmo as mensagens não são bem protegidas.

O WhatsApp é um dos aplicativos mais populares do mundo. Milhões e milhões de pessoas confiam no WhatsApp para manter contato e se conectar com amigos, familiares e colegas de trabalho. Embora todos os bate-papos sejam  criptografados de ponta a ponta por padrão desde 2016, isso não significa que o restante do sistema proteja sua privacidade. O problema com aplicativos de mensagens seguras é que a criptografia de mensagens é apenas parte do conjunto.

Um olhar rápido na criptografia do WhatsApp

Quando as pessoas pensam no WhatsApp, elas pensam em mensagens privadas, seguras e criptografadas. As mensagens enviadas só podem ser lidas pelas pessoas no chat. Criptografia de ponta a ponta (E2EE) significa que a mensagem é criptografada quando sai do dispositivo e permanece assim até chegar ao (s) seu (s) contato (s) e ser descriptografada (s). Usar criptografia de ponta a ponta significa que ninguém, nem mesmo o WhatsApp ou o Facebook, deve ser capaz de ler a mensagem. O WhatsApp usa o protocolo Signal (anteriormente Open Whisper Systems) para criptografar as mensagens. Este é o mesmo esquema de criptografia usado pelo aplicativo de mensagens seguras Signal. É importante não confundir como o WhatsApp criptografa mensagens com o funcionamento do restante do aplicativo. Signal e WhatsApp são aplicativos fundamentalmente diferentes em sua abordagem de privacidade e segurança. A única coisa que eles têm em comum é a matemática usada para criptografar as mensagens entre as pessoas.

Problema: suas mídias podem ter sido hackeadas e alteradas sem você saber

Um dos recursos do WhatsApp é que quando alguém compartilha uma imagem com você, ela é salva automaticamente em suas fotos no seu dispositivo. Você obtém uma foto dos amigos da sua última aventura e a usa para compartilhar em qualquer lugar. Como as imagens (e outras mídias) são salvas no dispositivo, elas ficam vulneráveis ​​ao “Media File Jacking”. Conforme publicado no The Verge e documentado pela Symantec, o malware pode ser criado para acessar a mídia que vai do WhatsApp e alterá-lo sem que você saiba. Em teoria, uma imagem pode ser alterada no momento em que você a vê no dispositivo ou você pode pensar que está enviando uma imagem para alguém, mas ela pode ter algo totalmente diferente. Veja como isso é explicado no Verge:

No Android, os aplicativos podem optar por salvar mídia, como imagens e arquivos de áudio, por meio de armazenamento interno que só pode ser acessado por meio do aplicativo ou por armazenamento externo que está mais amplamente disponível para outros aplicativos. O WhatsApp, por padrão, armazena mídia por meio de armazenamento externo e o Telegram faz isso quando o recurso “Salvar na Galeria” do aplicativo está ativado.

Segundo os pesquisadores, esse design significa que malwares com acesso a armazenamento externo podem ser usados ​​para acessar arquivos de mídia do WhatsApp e do Telegram, talvez até mesmo antes que o usuário os veja. Se um usuário fizer o download de um aplicativo malicioso, por exemplo, e receber uma foto no WhatsApp, um hacker poderá manipular a imagem sem que o receptor perceba. Um hacker poderia, teoricamente, alterar uma mensagem multimídia de saída também ”.

Aqui estão alguns vídeos mostrando como imagens e PDFs podem ser alterados com o jacking de arquivos de mídia:

 

O ponto da questão é que os dispositivos Android podem salvar mídia em armazenamento local desprotegido. É por isso que o Sky ECC usa armazenamento protegido dentro do aplicativo. Você não pode trazer imagens para o aplicativo, exceto pela câmera, e também não consegue tirar fotos dela. O exemplo acima não seria possível em um dispositivo Sky ECC, mesmo se ele estivesse infectado por malware.

Problema: o novo telefone recebe todos os bate-papos anteriores

Eu descobri esse problema quando recebi um novo telefone e estava configurando o WhatsApp no ​​novo dispositivo:

  1. Depois que as configurações e os aplicativos foram restaurados, eu abri o WhatsApp.
  2. Eu sabia que teria que autenticar novamente o novo telefone com o meu número de telefone (novo aparelho, mas o mesmo número de telefone), isso faz sentido e é o que eu tive que fazer com todos os meus outros aplicativos.
  3. Depois que entrei no meu número de telefone e o WhatsApp reconheceu, o aplicativo foi lançado … e todos os meus bate-papos voltaram.

Você pode pensar “oh, você tinha backups ativados”. Não, porque, como você vai ler no próximo problema, os backups do WhatsApp não são criptografados. Fazer backup de bate-papos particulares em texto simples é … não há uma metáfora suficiente para o quanto isso é bobo. Talvez porque usei a ferramenta de migração do iOS para transferir dados do meu antigo telefone, os bate-papos também foram movidos.

Mas a parte problemática é se você estiver usando bate-papos criptografados de ponta a ponta e não tiver backups, você não conseguirá recuperar esses bate-papos antigos, porque:

Um novo dispositivo deve gerar novas chaves de criptografia.
Novas chaves devem significar que você não pode ler bate-papos antigos.
Ele deve permitir que todos os seus contatos saibam que você tem um novo dispositivo e novas chaves quando eles conversarem com você novamente.
Essas proteções devem estar em vigor no caso de alguém encontrar uma maneira de clonar seu telefone ou sequestrar seu número de telefone em um novo SIM. Mas eles não são.

Problema: seus backups não estão protegidos por criptografia

WhatsApp divulga isso nas letras miúdas da configuração, mas esse recurso padrão coloca sua privacidade em risco. O WhatsApp faz o backup dos seus bate-papos, por isso, se você perder seu dispositivo, poderá recuperar todas as conversas. Parece uma boa ideia. Com exceção de trazer os chats de volta de um backup, o WhatsApp os armazena sem criptografia no iCloud e no Google Drive.

Como Paul Manafort aprendeu da maneira mais difícil, um mandado simples para a Apple era que todos os promotores federais precisavam obter todos os seus bate-papos. Mesmo que seus bate-papos não estejam sendo investigados pelas autoridades, como os bate-papos estão abertos, se alguém tiver acesso à sua conta do iCloud, eles poderão receber as mensagens, as fotos, tudo o que você enviou pelo WhatsApp.

O WhatsApp escolhe a conveniência sobre a segurança ao ativar as coisas por padrão. Um aviso como “Deseja ativar os backups? Observe que seus backups não são criptografados no (iCloud / Google Drive) para que eles pudessem expor informações privadas de seus bate-papos do WhatsApp. ”Pelo menos informa às pessoas o que está acontecendo antes que os dados sejam armazenados.

Achamos que os backups são muito arriscados para valer a conveniência potencial. O Sky ECC não tem backups de nenhum tipo. Se você tiver que redefinir o Sky ECC (eliminando todos os bate-papos e itens armazenados no seu Vault), a única coisa que você recebe é sua lista de contatos.

Problema: você pode compartilhar mais do que imagina

Trabalhei em suporte de informática em várias funções – formais e informais – por mais de trinta anos e, se há uma garantia de como as pessoas usam computadores, a maioria das pessoas nunca altera as configurações padrão em nada. Desde as 12:00 em vídeo dos videocassetes até os aplicativos padrão que você usa em um telefone ou computador, muitas pessoas não pensam em mudar as coisas, que é possível, ou em como mudar algo, se quiserem. Na maioria das vezes, isso não é tão ruim.

Muitas configurações padrão nos aplicativos são boas. Windows, MacOS, iOS e Android têm atualizações automáticas ativadas por padrão – e isso é uma coisa muito boa que protege os usuários. Existem algumas configurações, como configurações de privacidade em aplicativos como Facebook e WhatsApp, que precisam de sua atenção. Essas configurações padrão podem revelar mais sobre você do que você imagina.

No WhatsApp as configurações para prestar atenção são:

  • Sobre
  • Compartilhamento de local
  • Status (que agora funciona mais como Histórias no Instagram ou no Facebook)

O compartilhamento de local é um problema simples, você não deve transmitir para o mundo inteiro, muito menos para todos os seus contatos do WhatsApp. De perseguir até ver que você não está em casa, manter seu local real e atualizado é o melhor caminho a seguir. Mas isso torna simples, lógico, bom senso, e sobre About e Status?

O padrão para atualizações de status é definido para que todos os seus contatos o vejam, o que parece correto. Você deve conhecer todas essas pessoas. No entanto, é muito possível que você coloque algo em uma mensagem de status, esquecendo quem pode estar lendo ou vendo. Contatos bloqueados estão fora de cena, mas e as pessoas no trabalho? E se você estiver indo a algum lugar como um comício político e tiver colegas de trabalho como contatos? O WhatsApp permite que você limite quem vê um status, mas talvez você não tenha acessado as configurações e as tenha alterado de Todos os contatos para Contato, exceto… ou Somente esses contatos por engano.

Sua configuração “Sobre” é um pouco mais interessante e perigosa do que Status. As mensagens são públicas por padrão e não mudam, a menos que você as altere. Tudo bem se você nunca mudou de “Eu estou usando WhatsApp…”, mas e se você usou algo como “De férias” ou “Havaí, aqui vou eu!”? Como os status são públicos por padrão, você está dizendo ao mundo que não está em casa.

Problema: Facebook e publicidade

A partir do momento em que o WhatsApp concordou com a oferta de compra de US $ 19 bilhões do Facebook em 2014, os alarmes começaram a soar na comunidade de privacidade e segurança. Os fundadores do WhatsApp tinham certeza de que, como parte do acordo, o Facebook ficaria de fora do WhatsApp. Sem anúncios, sem mineração de dados. O WhatsApp continuaria sendo um aplicativo de mensagens privado e seguro.

Em 2016, o Facebook atualizou os termos de serviço do WhatsApp, permitindo o compartilhamento de dados entre as duas empresas / apps / serviços, e planeja colocar anúncios no Stories em 2020. Dois anos após a mudança do compartilhamento de dados, ambos os fundadores do WhatsApp, Jan Koum e Brian Acton , deixou o Facebook por motivos semelhantes: o Facebook planeja usar dados de usuários no WhatsApp para publicidade e outras segmentações.

Para ganhar dinheiro com publicidade, você precisa colocar anúncios relevantes na frente das pessoas certas para que eles cliquem. Para colocar os anúncios certos na frente das pessoas certas, você precisa saber algo sobre eles. Você precisa de um pouco de combinação de idade, sexo, interesses e localização para exibir um anúncio relevante. A questão é: como o Facebook obterá esses dados do WhatsApp.

Podemos não saber os detalhes de como os dados estão se movendo do WhatsApp para o Facebook e voltar por algum tempo, mas sabemos que, em 2020, haverá anúncios no WhatsApp e que os dados pessoais virão de algum lugar. Um aplicativo de mensagens seguras não deve saber o suficiente sobre você para veicular anúncios relevantes para você. Se o app estiver saindo o suficiente para um anunciante segmentá-lo, há informações suficientes para comprometer sua privacidade.

Diminua sua expectativa de privacidade ao usar o WhatsApp

É ingênuo sugerir que todos parem de usar o WhatsApp. Por mais que o WhatsApp tenha sérias falhas em seu modelo de privacidade e segurança, ele é usado por milhões de pessoas em todo o mundo. Usei o WhatsApp para conversar com colegas do outro lado do mundo e fiquei impressionado com a qualidade da qualidade das chamadas. A universalidade do WhatsApp é um dos seus maiores pontos fortes. Se você perguntar a alguém com quem precisa conversar se usar o WhatsApp, há uma boa chance de que ele diga sim.

Se não for prático abandonar o WhatsApp como ferramenta de comunicação, o próximo passo é ajustar suas expectativas ao usá-lo. Considere o seguinte ao usar o WhatsApp:

  • Seus bate-papos podem ser criptografados, mas se as pessoas com quem você está conversando tiverem backups ativados, elas não serão mais particulares
  • A mídia que você envia e recebe pode ser comprometida se você (ou seus contatos) permitir que o WhatsApp armazene imagens em seus dispositivos
  • Você precisa confirmar suas configurações de privacidade para ter certeza de que está compartilhando apenas locais, suas informações sobre o Google e suas histórias com as pessoas que deseja
  • O WhatsApp terá anúncios em 2020 e as informações para segmentar esses anúncios para você virão de informações coletadas do aplicativo (e possivelmente de seus contatos)

A  rota mais segura é se você quiser manter as conversas particulares e seguras, não use o WhatsApp. Use uma solução de comunicações mais segura usando criptografia forte e a privacidade do usuário vem em primeiro lugar. O Sky ECC é a solução de comunicações mais segura que você pode obter. O Sky ECC é um dispositivo separado, protegido do hardware para o aplicativo, para a própria conexão com a Internet, para garantir que suas comunicações sejam e permaneçam privadas.

Você pode saber mais sobre o Sky ECC na nossa página de recursos. Você está a apenas um passo da verdadeira privacidade das comunicações.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *