“Criptografia não é varinha mágica”, afirma Enrique Chaparro
Por Sarah Schmidt
Na última semana, o The Guardian publicou uma matéria acusando o aplicativo WhatsApp de possuir uma vulnerabilidade de segurança em seu sistema de criptografia. Essa falha tornaria possível a interceptação de mensagens trocadas por meio da plataforma.
Segundo o jornal britânico, a falha ocorreria quando, na troca de mensagens, o remetente ficasse offline (por algum motivo, precisasse trocar de aparelho), depois que uma mensagem já tivesse sido enviada por outro usuário. Isso obrigaria o WhatsApp a gerar uma nova chave de segurança, e a primeira versão da criptografia seria descartada, para gerar outra, e neste momento, seria possível ter acesso ao conteúdo da conversa.
A vulnerabilidade foi descoberta por Tobias Boelter, pesquisador da área segurança da Universidade da Califórnia, em Berkeley, nos Estados Unidos. A falha estaria ligada ao protocolo Signal, que o WhatsApp utiliza para oferecer seu sistema de criptografia ponta a ponta. O aplicativo Signal, que tem o mesmo nome do protocolo, não apresentaria este problema.
Diante da polêmica, na qual o WhatsApp foi acusado de ter um “backdoor”, a Eletronic Frontier Foundation publicou um texto sobre o assunto em seu blog, afirmando que a matéria do The Guardian seria “sensacionalista”, e que este comportamento do aplicativo estaria ligado a uma compensação de segurança. “Ainda temos um longo caminho na construção do aplicativo de mensagens perfeitamente usável e seguro e o WhatsApp, como todos apps do tipo, precisa fazer compensações”, afirma o texto.
Criptografia pode transmitir falsa sensação de segurança
A possível falha de segurança do WhatsApp traz à tona questionamentos sobre a eficácia e os mitos da criptografia. Esse assunto foi um dos temas da entrevista realizada pela Lavits com o pesquisador Enrique Chaparro, da Fundación Via Libre, durante o IV Simpósio Internacional da rede. Ele pondera que a explosão da comunicação instantânea “mostra o valor intrínseco da criptografia”, porém, ela não pode ser considerada uma solução única e definitiva. “O problema da criptografia é que ela tem sido considerada uma espécie de varinha mágica que resolve os problemas de segurança”, analisa.
Para Chaparro, esta ferramenta pode transmitir uma falsa sensação de segurança. “Supor que a criptografia completa sua necessidade de segurança é como crer que construir meio metro de muro de concreto reforçado no meio do meu jardim vai evitar que os ladrões entrem porque vão se chocar com este meio metro de muro”, afirma. O que acontece, segundo ele, é que muitas pessoas acreditam que, porque sua mensagem está sendo criptografada, não é necessário se preocupar com outras medidas de segurança.
Segundo o pesquisador, em muitos casos, “principalmente se seu adversário é poderoso”, os dados de navegação e comunicação, os logs, vão dar pistas, “independente do conteúdo da comunicação a ser cifrado”. “Então, eu alerto por uma maior consciência da segurança operativa”, ressalta Chaparro.
Ele se utiliza de outro exemplo para esclarecer seu pensamento: “Permita-me uma distinção: se meu propósito é que minha namorada não saiba das mensagens que estou enviando a minha outra namorada, então não há demasiado problema. Há um contexto aceitável de segurança e podemos ter razoável proteção. Agora, quando as organizações populares, os ativistas estão colocando sua segurança em mãos de um instrumento que não dominam, estão assumindo um risco desnecessário”. E finaliza: “o entorno operativo de segurança é que vai determinar quais instrumentos são adequados”.
Confira a entrevista completa:
