De acordo com o jornal “Guardian”, Tobias Boelter, especialista em criptografia e segurança, encontrou o atalho. “Se agências do governo solicitarem ao WhatsApp o registro de mensagens, a empresa pode conceder esse acesso devido a uma mudança de chaves [de segurança]”, disse ele à publicação britânica.

O Facebook, que controla o WhatsApp, afirma que ninguém pode interceptar essas mensagens —nem mesmo a empresa e sua equipe—, o que garante a privacidade dos usuários.

O sistema de segurança gera chaves de segurança exclusivas, por meio do protocolo Signal, desenvolvido pela Open Whisper Systems.

A criptografia “end to end” é um sistema utilizado pelo aplicativo para que a mensagem saia com uma espécie de “cadeado invisível” do dispositivo que a envia e só seja decodificada quando chega ao aparelho do receptor. Nos servidores da empresa, não são retidos nenhum vestígio do conteúdo dessas mensagens.

A segurança do WhatsApp baseia-se na geração de chaves de segurança exclusivas, usando o aclamado protocolo Signal, desenvolvido pela Open Whisper Systems, que é negociado e verificado entre usuários para garantir que as comunicações são seguras e não podem ser interceptadas por um intermediário.

No entanto, o WhatsApp tem a capacidade de forçar a geração de novas chaves de cifração para usuários off-line, sem que remetente e destinatário da mensagem original tenham ciência disso, e pode forçar o remetente a recifrar mensagens com novas chaves e enviá-las de novo, em caso de mensagens que não tenham sido marcadas como entregues.

O destinatário não é informado dessa alteração na criptografia, enquanto o remetente é notificado somente se eles tiverem optado por avisos de criptografia nas configurações e somente após as mensagens terem sido reenviadas. Esta re-criptografia e retransmissão efetivamente permite que o WhatsApp intercepte e leia as mensagens dos usuários.

Segundo o “Guardian”, Boelter relatou a vulnerabilidade ao Facebook em abril de 2016. A resposta foi que a empresa estava ciente do problema, que era um “comportamento esperado” e não estava sendo trabalhado.

Um porta-voz da WhatsApp disse ao “Guardian” que “mais de 1 bilhão de pessoas usam o WhatsApp hoje porque é simples, rápido, confiável e seguro. Sempre acreditamos que as conversas das pessoas devem ser seguras e privadas. No ano passado, demos a todos os nossos usuários um nível de segurança melhor, fazendo com que cada mensagem, foto, vídeo, arquivo e chamada de ponta a ponta sejam criptografados por padrão. À medida que introduzimos recursos como criptografia de ponta a ponta, nos concentramos em manter o produto simples e levar em consideração como ele é usado todos os dias em todo o mundo.”

“Na implementação do protocolo Signal adotada pelo WhatsApp”, acrescentou o porta-voz ao “Guardian”, “temos uma opção de configuração que permite exibir notificações de segurança, e ela notifica usuários sobre alterações em seu código de segurança. Sabemos que o principal motivo para que isso aconteça é que as pessoas troquem de celular ou reinstalem o WhatsApp. Isso acontece porque, em muitas partes do mundo, as pessoas frequentemente trocam de aparelho e de chip. Nessas situações, queremos garantir que as mensagens enviadas a elas sejam entregues e não fiquem perdidas no caminho”.

Steffen Tor Jensen, vice-presidente de segurança da informação e de combate à vigilância digital na Organização Europeia-Bahraini para os Direitos Humanos, verificou as descobertas de Boelter. “O WhatsApp pode efetivamente continuar lançando as chaves de segurança quando os dispositivos estão offline e reenviando a mensagem, sem deixar os usuários saberem da mudança até que ela tenha sido feita, fornecendo uma plataforma extremamente insegura”, disse ele ao jornal.

A professora Kirstie Ball, fundadora do Centro de Pesquisa em Informação, Vigilância e Privacidade, chamou a existência de atalho dentro da criptografia do WhatsApp “uma mina de ouro para agências de segurança” e “uma enorme traição à confiança do usuário”.

“É uma enorme ameaça à liberdade de expressão. Os consumidores dirão, eu não tenho nada a esconder, mas você não sabe que informação é procurada e que conexões estão sendo feitas”, completa.

Ativistas de privacidade disseram que essa vulnerabilidade é uma “enorme ameaça à liberdade de expressão” e advertiram que ela pode ser usada por agências governamentais para espionar as pessoas, que acreditam que suas mensagens são seguras.