Backdoor do WhatsApp não é uma vulnerabilidade, mas sim um recurso
Por Joyce Macedo | 14 de Janeiro de 2017 às 11h53
Na última sexta-feira (13), um relatório divulgado pelo britânico The Guardian apontou o dedo para uma vulnerabilidade presente no sistema de criptografia do WhatsApp que poderia permitir ao Facebook ler as mensagens trocadas na plataforma. No entanto, assim que o artigo começou a repercutir em todo o mundo, muitos se manifestaram para dizer que a história não era bem assim.
Ainda no mesmo dia, a Open Systems, responsável pelo sistema de criptografia de ponta-a-ponta usado pelo mensageiro, fez um post expressando sua consternação com o relatório. Enquanto isso, especialistas em segurança começaram a se manifestar dizendo que o tal backdoor em questão não era uma vulnerabilidade.
A vulnerabilidade estaria presente no processo de entrega de uma mensagem criptografa para um usuário que está offline. O problema apontado pelo relatório é que o WhatsApp não alerta seus usuários sobre a mudança nas chaves de criptografia e que a segurança da mensagem que fica "no limbo" não é determinada até que a outra extremidade a leia. Esse procedimento permitiria ao WhatsApp e Facebook, seu dono, interceptar e ler as mensagens.
"O WhatsApp não dá aos governos um backdoor em seus sistemas e vai lutar contra qualquer pedido do governo para criar um backdoor. A decisão de design referenciada na história do Guardian impede que milhões de mensagens sejam perdidas e o WhatsApp oferece notificações de segurança às pessoas para alertá-las sobre possíveis riscos de segurança", disse o WhatsApp em sua defesa.
O argumento usado pelos críticos da publicação do Guardian, em sua maioria pessoas que trabalham com criptografia, é de que o comportamento do aplicativo é comum e, muitas vezes, um requisito necessário para o bom funcionamento da técnica de segurança. O que o pesquisador que descobriu a brecha chama de backdoor permite, entre outras coisas, que os usuários do WhatsApp que compram um novo smartphone continuem suas conversas de onde pararam com o aparelho antigo.
"É ridículo que isso seja apresentado como um backdoor.Se você não verificar as chaves, a autenticidade das chaves não é garantida.Fato bem conhecido", argumentou o programador Frederic Jacobs, que já trabalhou na Open Systems, via Twitter.