Jonathan Zdziarski, especialista em segurança digital do sistema iOS, desencadeou uma pequena tempestade ao fazer um comentário sobre o WhatsApp, um dos serviços de mensagens mais populares do mundo, com mais de 1 bilhão de usuários ativos por mês.
"Lamento amigos, mas enquanto os especialistas dizem que a criptografia funciona no WhatsApp, parece que a versão mais recente do app deixa um rastro forense de todas as suas conversas, inclusive depois que você as apagou, limpou ou arquivou... Mesmo se você escolher 'apagar todas as conversas'. Na verdade, a única forma de apagá-las parece ser apagar o app completamente."
A preservação da privacidade é um dos aspectos mais importantes para serviços de mensagem como o WhatsApp. Há pouco tempo, o aplicativo era considerado um dos menos seguros.
Mas, em abril, o WhatsApp introduziu uma mudança semanas depois que o FBI pediu à Apple acesso a dados de um iPhone em um caso que estava investigando.
"Temos o orgulho de anunciar que conseguimos um desenvolvimento tecnológico que faz com que o WhatsApp se transforme em líder na proteção de sua comunicação particular: a criptografia de ponta a ponta", informou a empresa na época da implantação da criptografia.
"Nem o WhatsApp e nem terceiros podem ler ou escutar as mensagens e chamadas", dizia uma mensagem que os usuários do app começaram a receber.
Diante da investigação de Zdziarski, muitas pessoas disseram que a criptografia do WhatsApp era um "mito" ou até uma "mentira".
Até agora, o app não respondeu às alegações de Zdziarski.
Masa, afinal, quem está certo?
'Reconstrução' da mensagem
Zdziarski afirma que o WhatsApp "não parece estar tentando preservar dados intencionalmente".
Mas, segundo sua pesquisa, feita em iPhones - sua especialidade -, "o registro não é eliminado nem apagado da base de dados, o que deixa um artefato forense que pode ser recuperado e reconstruído em sua forma original".
Na prática, isto significa que os rastros da mensagem ficam no telefone.
"A comunicação efêmera não é efêmera no disco", alertou o especialista.
Por isso "as autoridades podem, potencialmente, emitir uma ordem exigindo que a Apple obtenha seus registros de conversas, que podem incluir mensagens apagadas", mas salvas na nuvem. Ou até reconstruir estas mensagens a partir da informação encontrada no telefone.
E este problema não é exclusivo do WhatsApp.
"Em tese a criptografia total, seja relativa a aplicativos de mensagens ou outro tipo de comunicação, é completamente segura e capaz de proteger a segurança de quem está usando", explicou à BBC Mundo Lee Munson, pesquisador de segurança do site Comparitech.com.
"No entanto, na prática, o problema é que a criptografia total só é uma frase para descrever operações matemáticas complexas muito difíceis de decifrar (...). Mas a possibilidade de conseguir isso aumenta com o tempo."
As mensagens que ficam no telefone ou no computador são as que representam o maior risco, de acordo com Richard Cassidy, especialista em cibersegurança na empresa Alert Logic.
"Sem entrar na questão das pessoas que podem ter acesso ao seu telefone ou computador usando técnicas maliciosas, se você apagar as conversas, vai deixar rastros que podem ser recuperados com as ferramentas de busca corretas", disse.
O especialista esclarece que a criptografia tornará tudo mais difícil, mas não impossível. E, infelizmente, as soluções para os telefones são comparativamente menos eficazes do que as voltadas para computadores.
Solução perfeita?
Tudo indica que não existe uma solução perfeita para este problema.
Lee Munso diz que a solução do WhatsApp em matéria de segurança, a princípio, "é suficientemente boa para o consumidor típico".
"Quem está preocupado deve garantir que seus equipamentos sejam suficientemente seguros. Isto significa senhas fortes e evitar sistemas de autenticação que se baseiem em aspectos biométricos", recomendou.
Zdziarki tem algumas recomendações para os donos de iPhone. Uma delas é usar o iTunes para estabelecer uma senha de backup grande e complexa.
Outra é desabilitar os backups na nuvem.
E, de vez em quando, delete o WhatsApp do telefone e o reinstale para limpar a base de dados.
"Esta parece ser a única forma de apagar os registros e recomeçar", disse o especialista.
No entanto, é bom não confiar totalmente nem nestas medidas.
"As pessoas que usam este tipo de app devem entender que qualquer criptografia pode ser decifrada", alertou Stephen Gates, chefe de investigação de inteligência da empresa NSFOCUS.
"Não existe criptografia à prova de balas, apenas 'criptografia mais forte'."
Olá, deixe seu comentário!Logar-se!