PplWare Mobile

Fim das escutas no WhatsApp! Instale já a última versão

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Pinto Costa says:

    o meu WhatsApp funciona na perfeição. esta medida é excelente! claro que só se tira 100% partido da aplicação caso se use iPhone

  2. Xinuo says:

    O WhatsApp fica mais seguro assim? Contra terceiros (qualquer roteador, hub ou switch de rede que estiver entre o usuário e o servidor do WA) que podem “ver” as mensagens sendo trocadas, SIM, fica seguro. Contra a próprio WA, NUNCA.

    O app WA é “quem” manipula as chaves dos usuários, então o app pode a qualquer momento pegar a chave privada e mandar para os servidores do WA. Se o app WA não têm essa capacidade nesse momento, poderá ter a qualquer momento, bastando a WA modificar o aplicativo e mandar a atualização para as lojas de app.

    Conclusão: acreditando-se que o app WA não tenha backdoor e manipule as chaves de criptografia dos usuários de forma ética, as autoridades e o próprio WA ficam sem acesso as msgs trocadas pelos usuários, entretanto a WA pode alterar a qq tempo o app para funcionar para algum usuário específico (ou todos) de modo a burlar qq proteção sem que o usuário saiba. Ou seja, as autoridades (do país onde está a sede do WA) poderiam criar leis que obrigassem a WA a colocar “escutas” em determinados usuários, a pedido de algum juiz, além da própria WA poder fazê-lo por conta própria.

    Além disso existem os metadados, que a WA não têm como negar que possui e que não podem ser criptografados ponto-a-ponto. E a análise dos metadados já seria suficiente para alavancar muitas investigações.

    • Bruno Fernandes says:

      Comentaste sem testar.

      Para encriptar a mensagem entre os dois utilizadores é necessária acção presencial. Um telefone gera um código QR e o outro faz o scan desse código. Simples.

      • Xinuo says:

        Eu não preciso testar, o aplicativo WA gerencia as chaves para o utilizador, o app pode fazer o que quiser com elas, inclusive transferi-las para os servidores do WA.

        É tecnicamente possível o aplicativo fazer o que eu especulei, sim ou não?

        O dono do Facebook, o Sr. Mark Zuckerberg, foi processado por diversos dos ex-sócios dele, alguém confia no que ele diz?

    • Tomás says:

      Não sei como é que o sistema da WA funciona, mas o que dizes seria à partida um mau mecanismo para implementar escutas, pois o envio das chaves à revelia acabaria mais cedo ou mais tarde por ser apanhado por quem se dedica a analisar a segurança deste género de aplicações.

      • Xinuo says:

        Eu apenas analisei as formas do aplicativo burlar quaisquer proteções que tenha prometido. Gostaria que você e o outro me dissesse que é tecnicamente impossível o WhatsApp burlar a própria proteção que prometeu.

        Quanto as pessoas que eventualmente venham analisar se o app WA está fazendo algo a mais ou não, como eles irão fazer isso se os dados são criptografados?

        • Tomás says:

          estar a enviar chaves criptográficas deixa um trilho de comunicações para outros endereços que não os destinatários das mensagens, coisa que não seria muito complicada de observar, mesmo sem ver os conteúdos, ainda mais quando o sistema parece criar uma chave diferente para cada mensagem individual. As provas iriam acumular-se e eventualmente alguém iria descobrir uma forma de ver o que é enviado pois teriam acesso ao hardware e ao software nos aparelhos dos dois lados… Para além disso o envio de chaves por si só não é garantia de grande coisa pois também é necessário interceptar as mensagens.
          É por isso que a preocupação com estes sistemas é antes a possibilidade dum “man in the middle”, em que o servidor da WA enganaria na negociação inicial entre utilizadores, e passaria a ser um nódulo de comunicação, recebendo a mensagem com a sua própria chave… Para ter confiança que isso não se está a passar o aconselhado é que esses utilizadores tenham uma outra via para verificar chaves

          • Xinuo says:

            Amigo, SEMPRE as mensagens passam pelos servidores da empresa WhatsApp.

            Não é necessário que a aplicativo WhatsApp mande mensagem para endereços diferentes, pois ao se usar o aplicativo WhatsApp não há comunicação direta entre os utilizadores, sempre os servidores são intermediários das mensagens, o aplicativo manda as mensagens dos utilizadores, e qualquer informação que colete a mais, direto para os servidores da empresa.

            O aplicativo Telegram, quando usado com a funcionalidade de Chat Secreto, é que possibilita uma comunicação fim-a-fim sem intermediários.

            Quanto a possibilidade da empresa WhatsApp fazer uma “man in the middle” é rídicula, visto que eles não precisariam fazer isso se quisessem de algum modo ver as mensagens sem cifragem, visto que eles fazem o aplicativo que é utilizado, bastaria alterar o aplicativo e mandar distribuir nas lojas. Muito mais rápido, fácil e eficiente do que recorrer a malabarismos tipo “man in the middle”. Entendeu?

            Eu estou apenas expondo que não há garantias de que não há backdoors, que a empresa WhatsApp está agindo de forma ética (a menos que haja auditoria externa nos fontes do aplicativo). A suposta segurança que eles apresentaram é contra terceiros, não contra eles próprios, que podem burlar a qualquer tempo, pois têm o controle de tudo que é usado na comunicação, tanto os aplicativos usado nos telemóveis, quanto os servidores.

            Está se especulando que as autoridades dos EUA estão a pensar numa lei que obrigue a colaboração das empresas, em casos como o da Apple x FBI. Se assim for, a empresa WhatsApp pode ser obrigada a abrir mensagens de alguns utilizadores que sejam investigados, eu apenas estou a esclarecer que é tecnicamente possível e fácil a empresa WhatsApp fazer isso. Entendeu?

          • Tomás says:

            Xinuo,
            o que se está a falar da WhatsApp é um sistema de encriptação ponta-a-ponta (fim-a-fim). A comunicação passa a ser negociada entre os dispositivos directamente após uma primeira negociação via servidor da WhatsApp.
            Man in the middle é exactamente a preocupação que quem analisa segurança tem levantado com os sistemas que dizem ser de encriptação ponta-a-ponta, e apenas necessita de modificação no servidor. Alterar o aplicativo implica mais mexidas (servidor também) e acabaria por ser revelada em prováveis análises de segurança a uma aplicação tão popular.
            Se for criada uma lei que obrigue a ter desencriptação isso automaticamente obriga a modificações da WhatsApp e altera os pressupostos e expectativas dos clientes. É diferente da discussão que estavas a levantar.

  3. Ruca says:

    A bandidagem agradece

    • Joao 2348 says:

      E quem não é bandido ainda agradece mais por deixar de ter os bandidos a ouvir/ ver/ ler tudo o que faz.
      Nunca na história da sociedade tão poucos puderam ter acesso a tanto em simultâneo! A privacidade que se gozava antes destas novas tecnologias, está finalmente a regressar a pouco e pouco.

  4. Joana Silva says:

    adorei esta coisa da encriptação completa!!
    (espero que estejamos a falar do mesmo mas não vi o nome da funcionalidade na notícia)

  5. Manuel says:

    Não sendo especialista em encriptação, se eu envio uma mensagem cifrada, por onde passa a chave para abrir a minha mensagem? Não me parece que a comunicação seja ponto a ponto com o destinatário.

    • Bruno Fernandes says:

      Não passa. Quando estás com a pessoa em questão, podes gerar um código QR que a outra pessoa digitaliza com o seu telefone, ou vice-versa. A partir daí ambos os terminais sabem como comunicar.

      • Manuel says:

        Olá Bruno, entendo o que dizes.
        Entendo que se tens uma chave privada disponibilizes a chave pública para a troca de mensagens cifradas. A minha questão mantém que é. Se é usada um algoritmo assimétrico tem de existir uma chave privada e pública. Não me parece que seja o caso. Para usar chave simétrica implica a negociação ponto a ponto. O que também não me parece que seja o caso. Os servidores deles serão man-in-the-middle. Por isso a minha dúvida por tal afirmação de que ninguém tem acesso às mensagens. Alguém tem ideia se tecnicamente isto é possível?

        • Xinuo says:

          O aplicativo do WA gerencia as chaves, é muito fácil para o aplicativo burlar quaisquer proteções.

          Tecnicamente os servidores deles não precisam abrir as mensagens, eles podem servir apenas como distribuidores das chaves públicas e retransmissores das mensagens cifradas, sendo que a chave privada ficaria apenas no telemóvel do utilizador. Sendo mais direto, os servidores deles não precisam agir como um man-in-the-middle.

          Mas é perfeitamente possível o aplicativo colocar uma porta traseira nas mensagens, de modo que os servidores possam decifrar as mensagens ou mesmo transferir para os servidores a chave privada do utilizador.

          Efetivamente os servidores estão no meio da transmissão entre os utilizadores, mas eles não precisam agir como um man-in-the-middle, pois os aplicativos dos utilizadores são desenvolvidos pelo próprio WA, não sendo necessário qualquer hack.

          A especulação que fiz, numa das primeiras mensagens desse post, e que repito novamente, foi de que o aplicativo pode burlar, a qualquer tempo, as proteções que promete ao utilizador.

      • P says:

        Tu dominas disto, ouve lá.
        Não conheces o conceito de Public key-private key? Eu acho que é isto que o WA usa, e não esse método que falas, mas estou só a falar de cor, visto que não uso o serviço

    • Zaark says:

      Chave pública e chave privada. Pesquisa acerca do assunto 😉

    • Jorge says:

      criptografia assimetria com backdoor para os da N S A

  6. M.S. says:

    Como atualizo o whatsapp no iOS? Em definições não vejo nada que me indique o caminho….

  7. Eric-Mayanga Nzalengi says:

    Se é assim, q seja bem-vindo!
    Vou adorar muito…

  8. Pedro says:

    Quem nao deve nao teme

    • Ricardo Afonso says:

      Por vezes não é bem assim, certamente que não iria gostar que viessem ao meu telemóvel, seja porque meio ou entidade for, e acedessem a fotos da minha filha. Eu não devo e não temo…

    • Zaark says:

      Todos pensam nas agências de segurança, ninguém se lembra da máfia. O mercado negro das informações pessoais é altamente lucrativo. E isto não é paranóia.

      • Blackbit says:

        Bem visto

      • Joao 2348 says:

        Infelizmente esquecem-se de que as máfias e os criminosos é que são o verdadeiro problema da população em geral e eles estão em todo o lado incluindo nos governos, policias e tribunais e de vez em quando lá vão uns quantos presos… mas disto ninguém quer falar por que é inconveniente.

  9. Ernesto says:

    Gostei assim há mas segurança

  10. Jaquim says:

    Só falta abrirem o código fonte 🙂

  11. Mota says:

    Descobriram agora a pólvora estes.

    Eu contino com o telegram obrigado, é multi-device e já tem comunicações encriptadas à muito tempo.

    • Pedro says:

      LOL. Mas olha que o Telegram também não é seguro. Vê aqui para perceberes o porquê.
      http://security.stackexchange.com/questions/49782/is-telegram-secure

    • Pedro says:

      O melhor a esse nível é o Signal – https://whispersystems.org/
      É a unica app que o Snowden recomenda que se utilize…

      Quanto ao WhatsApp quando eles dizem que nem eles conseguem ver as msgs até podem estar a dizer a verdade, só a NSA é que consegue (devido a usarem cifras para as quais a NSA forneceu números mágicos.. isso é conhecido, basta irem procurar).

      • Joao 2348 says:

        A segurança do protocolo no WhatsApp foi desenvolvida pelas mesmas pessoas do Signal 😛 (ver noticia aqui: https://whispersystems.org/blog/whatsapp-complete/ ).

        Os famosos números mágicos da NSA estavam no Dual EC DRBG e nas curvas elípticas NIST P-256 e NIST P-384 (aparentemente a NIST P-512 é única realmente considerada segura… que curiosamente não está implementada em quase lado nenhum dos browsers… acho que apenas o Firefox ainda suporta tal)… que o WhatsAPP não usa.

        Mas o nível de segurança é de “apenas” 128 bits verdadeiros… o que deve deixar os palermas de fora, mas a NSA e outros similares já devem ser capazes de quebrar tal nível de segurança, pois até eles mesmos dizem que apenas 256 bits é suficiente para proteger informação altamente secreta… e o AES256 tem uma chave de 80 byte que me parece que serão +/- 20 caracteres ou seja só proporciona na pratica 128 bits de segurança (nem sei para que utilizaram AES256 em vez de AES128… deve ser porque para o marketing AES256 parece melhor), depois o SHA256 só proporciona um nível de segurança de 128 bits e a Curve25519 também só proporciona uma segurança de aproximadamente 128 bits de segurança.

        Pelo menos o WhatAPP deixa verificar/ confirmar a identidade e que a mesma não foi alterada… não é a coisa mais simples, mas é possível… no Threema é fácil perceber pelas cores se houve ou não alteração, ali, pelo que vi nas imagens complicaram mais e tem de se verificar os números de integridade ou usar de alguma maneira o código QR.

        Mas para ser verdadeiramente seguro “nível de segurança 256 bit” deveriam utilizar algo como cifra simétrica: Serpent-256 (ou Threefish ou outro ainda melhor tipo Chimera que é uma mistura de Threefish com um outro algoritmo de forma a fechar outros potenciais problemas de segurança do Threefish), algoritmos de integridade: Whirlpool-512 e curva elíptica: M511 (também conhecida como Curve511187).. isto provavelmente colocava a NSA e todas as outras de fora… se não conseguirem quebrar curvas elípticas que ninguém sabe se conseguem ou não… e se conseguirem provavelmente teria se utilizar o NTRU ou outro sistema similar de assinatura digital.

        Mesmo com tudo bem implementado, existe sempre a plataforma onde é utilizada que provavelmente não é segura de todas as maneiras, como as vulnerabilidades de segurança descobertas no passado e que se irão descobrir no futuro provam.

        • Xinuo says:

          Caro João 2348, como um utilizador pode ter certeza da segurança do app do WhatsApp?

          É tecnicamente possível a empresa WA liberar uma atualização do aplicativo WA que pode burlar qualquer nível de segurança que esteja sendo implementado, sim ou não?

          • Joao 2348 says:

            É absolutamente possível à WhatsApp fazer uma atualização específica para determinada pessoa (pois cada um terá uma identificação única no sistema). Que a pessoa se aperceba ou não de tal é outra conversa.
            Como utilizador não tem como saber se a aplicação WhatsApp é segura ou não, sem analisar totalmente o seu código fonte daquilo que é colocado no seu dispositivo. Terá de analisar por si mesmo, ou pagar a alguém em quem confie (confia em alguém?) para verificar.
            A nível global uma aplicação como o WhatApp com cerca de 1 milhar de milhões de utilizadores, vai ser alvo de inspecção por todo o tipo de peritos em programação e segurança, e não é uma hipótese é uma certeza, pois já aconteceu várias vezes com essa aplicação WhatsApp no passado… em que descobriram todo o tipo de problemas de segurança… e creio que foi tal que os levou a aceitar ajuda externa de forma a garantirem que isto era bem implementado desta vez.
            Pelo que li da forma como implementaram isto deixará todos contentes… pois o nível de segurança oferecido “128 bits” (se tiver sido tudo bem implementado) não impede a NSA e afins de interceptar e descodificar os conteúdos (pois eles mesmos só consideram segurança elevada a partir de 192 bits, e para ultra segurança tem de ser 256 bits… e para acima de ultra-segurança tem de ser outros algoritmos por eles aprovados) e por outro lado permite deixar os criminosos “comuns” fora das comunicações pois ainda não existirá capacidade real no mercado comercial para ultrapassar a tecnologia de segurança utilizada.
            É, partindo do princípio que está bem implementada, um óptimo avanço a nível de segurança… é preciso lembrar que a esmagadora maioria das pessoas usava o WhatsApp nem pensava em segurança… ou não utilizaria o WhatsApp de todo… pois até agora nunca tinham feito nada explicitamente para proteger as comunicações como deve de ser.
            Com esta alteração até consigo imaginar que bancos e similares comecem a ponderar o WhatsApp como uma plataforma segura para contactar os seus clientes. Se bem que seria bom o WhatsApp ter uma auditoria externa ao código fonte como tem feito outros mensageiros tipo Threema.

          • Tomás says:

            Joao 2348, tanto quanto eu sei as actualizações das aplicações são reguladas pela loja/sistema em quase todos os aparelhos móveis. A WhatsApp não teria como actualizar código de apenas um único aparelho sem a conivência da loja, que seria quem teria de implementar esse tipo de actualização isolada.

          • Joao 2348 says:

            Tomás, tem razão, mas existem 3 possibilidades:
            1) Podem distribuir uma versão nova para toda a gente onde incluem uma lista daqueles a abrir um cavalo de Tróia. Aqui a probabilidade de ser detectado é enorme;
            2) Podem incluir algo que pesquisa regularmente os servidores do WhatsApp e que receber algo de forma diferente altera o seu comportamento a nível da forma como encripta. A probabilidade de alguém descobrir é menor, mas existe;
            3) Pode forçar a instalação da versão alterada num determinado dispositivo através de técnicas de exploração de vulnerabilidades de segurança, acesso físico, ou outros similares na sua natureza ou fim. A probabilidade de alguém descobrir é quase inexistente se for bem feito.

  12. Fernando G. R. Divac says:

    Telegram mandou um abraço…

    • Joao 2348 says:

      Para quem quer apenas comunicar e não liga a segurança serve perfeitamente.
      Se ligam a segurança/ privacidade então algo como WhatsApp, Threema, Silent Circle ou similar terá de ser utilizado.
      E sim o Telegram utiliza encriptação nos chats privados, mas aquilo estive a ver a informação do protocolo e deixou-me bastante preocupado a forma como integraram a tecnologia… eles dizem que é seguro e tal mas não fiquei convencido.

  13. TrasMontano says:

    Alguém conhece o WIRE (https://wire.com), que permite encriptação das mensagens de texto, video, e video-conferência, com suporte de diversas plataformas (PC, Android e iOS)?

  14. Sofia says:

    Boa noite! Estava numa conversação e apareceu-nos (a mim e à pessoa com quem eu estava a “falar”) uma mensagem a dizer que a conversa tinha sido copiada com sucesso ou algo do género. Nenhuma de nós tem ativada a opção de arquivar as conversas ou algo do género. Porque poderá ter-nos aparecido esta mensagem no visor… e às duas?

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.