Semana passada, o jornal britânico The Guardian publicou uma matéria acusando o WhatsApp de ter colocado um backdoor em seu serviço com a capacidade de interceptar as mensagens de seus usuários. A matéria foi publicada no SempreUpdate e pode ser lida clicando aqui. Um grupo de trinta analistas da área de segurança co-assinaram uma carta aberta pedindo que o jornal The Guardian se retratasse sobre a matéria, alegando que o aplicativo de mensagens WhatsApp contém um “backdoor”.
“Infelizmente, sua história foi o equivalente a colocar ‘VACINAS MATAM PESSOAS’ em uma manchete mal contextualizada”, escreve a acadêmica Zeynep Tufekci, que organizou a carta aberta.
A carta alega que as afirmações do The Guardian servem apenas “para pôr em perigo as pessoas”.
“Meu aviso serve para observar o que realmente está acontecendo desde a publicação desta história e anos de experiência nessas áreas”, escreve Tufekci, acrescentando: “Vocês nunca deveriam ter relatado sobre uma questão tão crucial sem entrevistar uma vasta gama de especialistas.”
Ela também deu sua opinião sobre o relatório do The Guardian e as potenciais consequências para os usuários do WhatsApp em seu Twitter.
Thanks to Guardian’s irresponsible & baseless WhatsApp reporting, I’m flooded w reports of vulnerable folk switching to less secure options.— Zeynep Tufekci (@zeynep) January 16, 2017
O WhatsApp também rejeitou firmemente as afirmações do The Guardian sobre um “backdoor” em sua plataforma, dizendo que as alegações são falsas:
“O WhatsApp não dá aos governos um ‘backdoor’ em seus sistemas e iriamos lutar contra qualquer pedido do governo para criar um backdoor. A decisão de design referenciada na história do The Guardian impede que milhões de mensagens sejam perdidas, e o WhatsApp oferece notificações de segurança às pessoas para alertá-las sobre possíveis riscos de segurança.”
Moxie Marlinspike, responsável pela implementação da criptografia end-to-end no WhatsApp, declarou que a matéria do The Guardian é “imprecisa”. Um post do blog do Open Whisper Systems, empresa fundada por Moxie, diz:
“Acreditamos que o WhatsApp continua sendo uma ótima opção para usuários preocupados com a privacidade do conteúdo de suas mensagens”.
A matéria…
…do jornal é baseada no relatório do pesquisador independente Tobias Boelter, que descreveu o problema como uma “vulnerabilidade de retransmissão” na maneira como o WhatsApp lida com as trocas de chaves quando uma mensagem não é entregue.
Boelter disse que informou o problema para a empresa responsável pelo WhatsApp, o Facebook, no momento em que descobriu o problema, mas foi informado de que era um “comportamento esperado”.
O WhatsApp afirmou que o processo de retransmissão de chaves é uma decisão de design – destinada a minimizar o risco de perda de mensagens no durante o trajeto, quando, por exemplo, alguém recebe um novo telefone ou troca seu SIM.
E o grupo de pesquisadores de segurança co-assinando a carta de Tufekci ao The Guardian evidentemente concordam que é uma característica e não um bug ou backdoor.
A carta aberta de Tufekci conta com as assinaturas do criptografo Bruce Schneier, de Isis Lovecruft do projeto Tor, do pesquisador de segurança Thaddeus T. ‘Grugq’, de Katherine McKinley da Mozilla, e do pesquisador e autor de segurança Jonathan Zdiarski.
Mas e ai? É um bug, vulnerabilidade, característica ou backdoor?
