Nos últimos dias têm-se escrito artigos atrás de artigos sobre um alegado backdoor na aplicação de instant messaging Whatsapp. Mas será que ele existe mesmo? Antes de confirmarmos a sua alegada existência, convém primeiro saber o que é exatamente um backdoor.

O que é um backdoor?

Um backdoor é uma espécie de porta dos fundos, que pode ou não ser propositado. É um método de contornar sistemas de segurança, por forma a ganhar acesso não autorizado a recursos que de outra forma não estariam disponíveis e/ou acessíveis.

Um backdoor pode estar incluído numa aplicação ou ser uma aplicação separada, como um rootkit. Pode mesmo ser o próprio hardware.

Afinal o que se passa com o Whatsapp?

Em abril de 2016, Tobias Boelter, um criptógrafo da Universidade de Califórnia, descobriu que o Whatsapp gera uma chave criptográfica nova quando o utilizador tenta enviar uma mensagem enquanto está offline. Assim que há um acesso à Internet, a mensagem é enviada de forma encriptada com a nova chave, mas o utilizador não tem conhecimento disso porque a aplicação não o notifica da alteração. O destinatário recebe normalmente a mensagem, porque a aplicação confia automaticamente na nova chave sem pedir validação.

Boelter afirma que este comportamento permite que o Facebook, proprietário do Whatsapp, aceda às mensagens dos utilizadores. Este acesso também pode ser feito por piratas informáticos, governos, forças de segurança… a lista continua.

Quando reportou a falha ao Facebook, foi-lhe dito que este é o comportamento padrão e esperado da aplicação. Desde essa altura que a aplicação mantém este comportamento e foi por isso que Tobias Boelter decidiu tornar a sua descoberta pública.

Existe inclusive um vídeo no Youtube que demonstra este alegado backdoor e que podes ver abaixo.

 O que posso fazer para evitar isto?

O Whatsapp tem uma opção para notificar o utilizador quando há alteração de chave criptográfica. Para isso, deves aceder a Definições > Conta > Segurança e ativar a única opção que aí se encontra.

Afinal é ou não um backdoor?

A resposta mais honesta que posso dar é: talvez. As aplicações do Whatsapp (clientes e servidor) são proprietárias, o que significa que não temos acesso ao código-fonte e não o podemos analisar. Sabe-se, no entanto, qual o protocolo utilizado para a encriptação.

Esse protocolo, chamado Signal e desenvolvido pela Open Whisper Systems (que colaborou com o Facebook na implementação dele na aplicação), é aberto e pode ser verificado e implementado por qualquer pessoa com conhecimento para isso. Do que se aferiu até agora, não é uma questão do protocolo.

Aliás, o Signal contempla estas situações de alterações da chave criptográfica e obriga a validação presencial. Quando é com os nossos amigos que vivem próximos de nós, é fácil; quando se trata de contactos noutro país ou continente, torna-se mais complicado.

Devo continuar a confiar no Whatsapp?

Citando uma fala do filme My Blueberry Nights: «trust everyone, but always cut the cards». Ou melhor: confia, desconfiando.

A verdade é que não há sistema de encriptação que te valha quando não há bom-senso na utilização. Porque a maior falha de segurança de todas está entre a cadeira e o teclado.