Background Image
Table of Contents Table of Contents
Previous Page  20 / 68 Next Page
Information
Show Menu
Previous Page 20 / 68 Next Page
Page Background

D

epois que o Supremo Tribunal Federal

(STF) convocou uma audiência pública

para discutir os bloqueios do WhatsApp,

fiz alguns questionamentos sobre

segurança da informação que podem ser úteis a

todos. Embora o WhatsApp não tenha aberto sua

API de forma pública, há alguns esforços de

engenharia reversa, principalmente para

implementação de clientes alternativos para

plataformas não suportadas pelo aplicativo. Foi o

caso, por exemplo, do Firefox OS e do WhatsApp

Web, antes mesmo que a empresa resolvesse criar

sua própria versão.

Por meio desses esforços, foi possível

constatar que o serviço de mensagens adquirido

pelo Facebook utilizava uma API simples em

JSON, que fazia uso de criptografia HTTPS para

transmissão dos dados.

Quando o primeiro bloqueio aconteceu,

em fevereiro de 2015, a justificativa foi de que

o WhatsApp não poderia entregar os dados,

pois estavam criptografados. Caso estivessem

mesmo, só poderia ser uma cifra simétrica cujo

segredo seria conhecido pelo Facebook. Trata-se

do tipo de tecnologia usada para criptografar

um banco de dados que acrescenta uma camada

de segurança para os casos de acesso indevido

aos dados. Assim, um invasor poderia até copiar

o conteúdo da base, mas não o decifrar, uma

vez que a chave seria conhecida apenas pelo

WhatsApp.

Isso foi confirmado quando o serviço revelou

sua criptografia de ponta a ponta em abril de 2016,

o que indica que a empresa mentiu ao dizer que

não poderia fornecer os dados à Justiça. Como

o software não possui seu código aberto e as

tecnologias envolvidas são segredos comerciais,

fica impossível verificar se estava ou não falando

a verdade. Contudo, basta entender um pouco de

criptografia para perceber que o discurso não bate

com a realidade tecnológica.

Mesmo a criptografia de ponta a ponta pode

ser comprometida caso haja problemas de

implementação. Nesse caso, a segurança se resume

em onde as chaves são criadas e quem tem acesso a

elas. Se são originadas nos dispositivos dos usuários,

como é possível acessar conversas antigas em um

novo dispositivo, por exemplo? Isso só nos faz crer

que o aplicativo possui uma forma de copiar as

chaves antigas e movê-las para novos dispositivos.

Se isso for mesmo verdade, o aplicativo teria

acesso às chaves e, em consequência, ao conteúdo

criptografado das conversas.

Há muitas pontas soltas nas explicações da

empresa, o que me faz crer que não parece ter

interesse em cooperar com os órgãos de Justiça

brasileiros para não abrir um precedente que poderia

tornar a solicitação de informações algo cotidiano.

Kemel Zaidan

Evangelista de tecnologia

da Locaweb

@kemelzaidan

/kemelzaidan

&ULSWRJUDƬD QR:KDWV$SS

H RV ÎUJ¾RV GH -XVWLÂD

influenciador

20

20

REVISTA LOCAWEB

REVISTA LOCAWEB

1 15 16 17 18 19 20 21 22 23 24 25 26 68  FlippingBook