WhatsApp, segurança de grupo comprometida? Vamos esclarecer

Uma equipe de criptografistas especializados da Universidade Ruhr em Bochum, na Alemanha, disse ter descobriu várias falhas na segurança do WhatsApp Isso poderia limitar o funcionamento da criptografia de ponta a ponta implementado internamente e reduzir os benefícios em bate-papos em grupo. O estudo foi detalhado no documento “Mais é menos: sobre a segurança ponta a ponta de bate-papos em grupo em sinal, WhatsApp e Threema”, que afirma que qualquer pessoa tem controle sobre os servidores da empresa, incluindo funcionários da empresa, podem adicionar membros a qualquer grupo de uma maneira completamente invisível para outros participantes. Mas isso não é inteiramente verdade.

Normalmente, no WhatsApp, apenas os administradores de bate-papo em grupo podem adicionar novos participantes a eles, mas os pesquisadores descobriram que quem controla os servidores pode burlar o processo de autenticação e obter os direitos necessários para adicionar novos membros que poderão escutar dentro conversas privadas. No caso mais realista e preocupante, os governos poderiam pressionar a empresa para obter acesso às conversas em grupo-alvo, com os técnicos designados que poderiam ter êxito, se confirmadas as análises descritas pela Universidade no documento, para oferecer o que é solicitado.

Parece também que aqueles que controlam o servidor podem manipular as mensagens de aviso sobre a adição do novo participante, tornando o procedimento invisível para aqueles que já estão na conversa. A Wired confirmou as descobertas dos pesquisadores entrevistando um porta-voz do WhatsApp, que admitiu o problema na segurança do servidor, rejeitando a hipótese de que é possível impedir que a mensagem de adição de um novo participante seja exibida: “Analisamos cuidadosamente o problema, e os membros que já estão em grupos sempre são notificados quando um novo usuário é adicionado. “

Considerando o nível de sofisticação dos sistemas de segurança dos servidores WhatsApp, os mesmos pesquisadores alemães admitem que as chances de lançar um ataque desse tipo são bastante remotas. Mas esse não é um motivo válido para manter ativa uma falha de segurança tão importante. Moxie Marlinspike, co-fundador do Open Whisper System, empresa que desenvolveu o sistema de criptografia de ponta a ponta presente no WhatsApp, comentou: “O invasor não pode ver as mensagens escritas anteriormente no grupo, porque elas são protegidas de ponta a ponta final de chaves que eles não têm. “

“Todos os membros da equipe podem ver que o invasor entrou e não há como evitá-lo. Considere as alternativas. Acho que é uma decisão de design bastante razoável e acho que seria uma solução melhor se o servidor não tivesse visibilidade. nos metadados dos membros do grupo, mas um problema amplamente não resolvido, não está relacionado ao sigilo de mensagens de grupo“. Marlinspike então continua em um tom mais controverso.” Este artigo nos faz entender melhor os problemas com o setor de segurança de TI e as maneiras pelas quais a pesquisa em segurança é realizada. “

“A lição neste caso é clara: não planeje nenhuma segurança de produto, pois isso atrai a atenção dos pesquisadores, mesmo que você tome as decisões corretas e independentemente da importância da pesquisa. Muito melhor Modus operandi do Telegram: deixe a criptografia de tudo, exceto no marketing “.