0
0
Houve uma reviravolta estranha nas notícias da semana passada de que os usuários do WhatsApp estão sendo alvo de mensagens de “bomba de texto”— strings de caracteres criadas que travam o aplicativo. Uma reviravolta estranha para o WhatsApp, ou seja, muito além da dor para os usuários impactados. A plataforma de mensagens de propriedade do Facebook garantiu que a vulnerabilidade está sendo corrigida, que as atualizações serão distribuídas para usuários em todo o mundo.
Mas não é tão simples — há dois problemas sérios com o WhatsApp, ambos os quais tornam esse ataque de bomba de texto mais grave do que o necessário, ambos supostamente sendo corrigidos, ambos sendo uma atualização radical para 2 bilhões de usuários do WhatsApp.
O aviso sobre esta última onda de mensagens perigosas foi amplamente coberto pela mídia. As mensagens codificadas jogam o WhatsApp em um ciclo de colisão infinito que exige que o usuário exclua e reinstale o aplicativo. As strings de texto não podem ser renderizadas pelo aplicativo — ela trava cada vez que tenta. Então, assim que você receber e abrir a mensagem, é o fim do jogo. A única saída é usar algo diferente do seu smartphone para excluir a mensagem e bloquear o remetente. E aqui encontramos o problema número um.
O WhatsApp não tem um aplicativo de desktop independente — é apenas um arranhão no aplicativo do seu smartphone. É por isso que você precisa manter seu aplicativo de smartphone conectado. Se o aplicativo do smartphone não puder abrir, o aplicativo de desktop é inútil. Tudo isso significa que você precisa perceber que foi atacado com uma mensagem de bomba de texto, e recorrer ao seu aplicativo de desktop para excluí-lo e bloquear o remetente, sem usar o aplicativo do seu smartphone até que isso seja feito. Isso é inconveniente e impraticável — mas é a única maneira.https://d-1142921686426714965.ampproject.net/2009040024003/frame.htmlhttps://bc56f56690c9e7f7649519fca6eb0e8c.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0
O WhatsApp agora tem dispositivos vinculados em desenvolvimento em estágio final. Isso é fundamental para o WhatsApp, pois ele reproduz os recursos já oferecidos por concorrentes como Signal, iMessage e até facebook Messenger. Uma vez liberado, isso significa que você deve ser capaz de excluir a mensagem e bloquear o remetente e, em seguida, reabrir o aplicativo — empurrando-o para o plano de fundo, que deve ser capaz de sincronizar seu banco de dados sem tentar renderizar a mensagem perigosa. Os dispositivos vinculados ainda não estão disponíveis, o que significa que se você jogar seu aplicativo de smartphone em uma falha infinita, você não tem opção a não ser excluir e reinstalar o aplicativo. E isso leva ao problema número dois.
Se você quiser restaurar seu histórico de bate-papo e mídia quando reinstalar o WhatsApp, você precisa usar o backup na nuvem disponível dentro do próprio aplicativo. O WhatsApp dá aos usuários de iPhone e Android a opção de enviar um backup diário, semanal ou mensal para a Apple AAPL ou os respectivos serviços de nuvem GOOGL do Google. O problema é que esses backups minam toda a base para a segurança da marca do WhatsApp.
Estamos falando de criptografia de ponta a ponta, é claro. Isso significa que a chave para descriptografar suas mensagens é mantida apenas por você e pela pessoa ou pessoas que você está enviando mensagens. Como o próprio WhatsApp diz,“alguns dos seus momentos mais pessoais são compartilhados com o WhatsApp, e é por isso que construímos criptografia de ponta a ponta em nosso aplicativo. Quando criptografadas de ponta a ponta, suas mensagens, fotos, vídeos, mensagens de voz, documentos e chamadas são protegidas de cair em mãos erradas.”
De acordo com o dono do WhatsApp, o Facebook, tal criptografia não só mitiga o risco de mensagens serem interceptadas em trânsito, mas também “o comprometimento da infraestrutura de servidor e rede“, inclusive ela própria. Isso é um pouco irônico, dado que o Facebook Messenger não está atualmente criptografado de ponta a ponta, exceto onde os usuários optam por enviar “mensagens secretas”, embora planeje corrigir isso em algum momento.
Tudo isso leva a esse problema — o WhatsApp é criptografado de ponta a ponta, mas esses backups na nuvem não são. “Mídia e mensagens que você faz backup”, adverte os usuários do iPhone, “não estão protegidos pela criptografia de ponta a ponta do WhatsApp enquanto estiverem no iCloud”. O mesmo problema impacta os usuários de Android que estão fazendo backup na nuvem do Google. Seu dispositivo hospeda um banco de dados de mensagens descriptografado, que é então backup do seu dispositivo para o serviço de nuvem, envolto pela criptografia padrão (não de ponta a ponta), nada mais do que isso.
O Signal, a melhor alternativa para o WhatsApp, não oferece um backup em nuvem de qualquer tipo. Deixar os dados fora do controle de um usuário, diz ele, é um risco de segurança material e que ele não permite. Enquanto um usuário do WhatsApp em transição para um novo telefone faz isso por meio do backup na nuvem, restaurando-se ao novo dispositivo, o Signal oferece um dispositivo direto e sem fio para transferência de dispositivos ou um arquivo de backup especialmente criptografado, que pode ser copiado no novo dispositivo e usado para restaurar o histórico de mensagens.
Os legisladores dos EUA estão atualmente pressionando por acesso garantido a plataformas de mensagens criptografadas, para permitir que os investigadores acessem o conteúdo do usuário, algo que é bloqueado quando apenas o remetente e o destinatário têm essas chaves de descriptografia. Claramente, quando os dados estão em um serviço de backup em nuvem, sem essa criptografia de ponta a ponta, então as agências de aplicação da lei e de segurança podem acessar esses dados através do provedor de nuvem — Apple ou Google — quando um mandado jurisdicional permite que eles o façam.
Assim como acontece com dispositivos vinculados, o WhatsApp parece estar desenvolvendo uma extensão para sua criptografia de ponta a ponta, permitindo que essa proteção se estenda a esses backups na nuvem. Até lá, porém — e não há um tempo confirmado em qualquer versão, os usuários terão que fazer uma escolha entre proteger seus aplicativos, no caso de perderem o telefone ou serem vítimas de um ataque tipo bomba de texto, ou para proteger seus dados do risco de que ele seja exposto sem a criptografia que ele desfruta quando transmitido.
Se a ideia de expor anos de mensagens a um possível escrutínio por outros, tirar a criptografia que gosta no WhatsApp preocupa você, então talvez você deva confiar que este último problema de bomba de texto será corrigido pelo WhatsApp. Isso é o que nos dizem. Mas houve uma questão semelhante levantada pela equipe de pesquisa cibernética da Check Point no ano passado, uma que manipulou metadados de mensagens para enviar o aplicativo para um acidente infinito da mesma forma, que aparentemente foi corrigido, e ainda assim aqui estamos novamente.
Como agora, parte do conselho para mitigar tais ameaças é evitar que seu número seja adicionado a grupos por aqueles que você não conhece. Você pode fazer essa alteração dentro das configurações de privacidade do aplicativo. Você deve limitar todas as configurações de privacidade aos seus contatos.
Já comentei antes que de todas as novas funcionalidades supostamente provenientes do WhatsApp, são dispositivos vinculados e backups criptografados que superam todos os outros por sua importância. Não é coincidência, então, que esta última edição com as chamadas mensagens de código de colisão “travazap” originárias do Brasil destacaria ambas as questões. Os 2 bilhões de usuários do WhatsApp precisam receber essas atualizações. E rápido.
FONTE: FORBES