Um criptógrafo da Universidade da Califórnia em Berkeley, nos Estados Unidos, descobriu uma vulnerabilidade que permite ao WhatsApp ou a outra entidade ler o conteúdo de mensagens teoricamente encriptadas. A notícia é avançada esta sexta-feira pelo Guardian e vem pôr em causa o estatuto daquele serviço de troca de mensagens como uma plataforma supostamente blindada contra os esforços de agências de espionagem, regimes autoritários ou grupos criminosos.

A descoberta foi feita em Abril de 2016 por Tobias Boelter, um investigador daquela universidade californiana, e foi imediatamente comunicada ao Facebook, que detém o WhatsApp desde 2014. Na altura, a rede social disse ao criptógrafo e especialista em segurança informática que já tinha conhecimento da vulnerabilidade. Agora, nove meses depois, o Guardian afirma que esta “porta dos fundos” mantém-se aberta. O jornal não afirma se se trata de uma falha ou de um acto intencional.

Como explica o mesmo jornal, o sistema de encriptação de mensagens do WhatsApp assenta na geração de chaves de segurança únicas através do protocolo Signal, desenvolvido pela Open Whisper Systems, que são depois trocadas e verificadas nas comunicações entre os utilizadores para garantir que as mensagens não são vistas por nenhum intermediário: apenas pelo emissor e o destinatário.

No entanto, alega-se agora que o WhatsApp consegue forçar a geração de novas chaves de segurança quando o destinatário de uma mensagem está offline, sem o conhecimento prévio do emissor e do destinatário. No caso de uma mensagem que foi enviada mas que ainda não foi recebida, esta poderá ser reenviada uma segunda vez com uma nova chave de segurança, o que em teoria pode permitir a um intermediário (o WhatsApp ou potencialmente outra entidade) a leitura do seu conteúdo.

Esta "porta dos fundos" limita-se aparentemente ao WhatsApp e não existirá no Signal, o programa de comunicação ecriptada da Open Whisper Systems, cujo uso é de resto recomendado antigo administrador de sistemas da CIA e dissidente norte-americano Edward Snowden.

Para Kirstie Ball, uma das directoras do Centro para a Pesquisa sobre Informação, Vigilância e Privacidade (uma parceria entre as universidades britânicas de Edimburgo, Saint Andrews e Stirling), a existência de um buraco no sistema de encriptação do WhatsApp é “uma mina de ouro para as agências de segurança” e “uma enorme traição à confiança dos consumidores”.

“É uma enorme ameaça à liberdade de expressão que possam ver o que dizemos se assim o quiserem. Os consumidores dirão que não têm nada a esconder, mas não sabemos que informação está a ser lida nem as ligações que estão a ser feitas”, acrescenta a académica em declarações ao diário britânico.

Em resposta ao Guardian, o WhatsApp explica que os utilizadores podem ser alertados sobre cada alteração dos códigos de encriptação dos seus contactos, o que pode acontecer quando os destinatários trocam de telemóvel ou de cartão SIM, ou quando reinstalam a aplicação. “Nesses casos, queremos garantir que as mensagens das pessoas são entregues e que não se percam em trânsito”, acrescenta a empresa.

O jornal questionou concretamente o WhatsApp sobre eventuais acessos a mensagens de utilizadores a pedido de governos ou outras entidades. A empresa respondeu com um link para um página que agrega dados sobre pedidos de informação dirigidos ao Facebook. No caso de Portugal, os dados mais recentes são relativos ao primeiro semestre de 2016: a empresa recebeu 782 pedidos referentes a 845 utilizadores no âmbito de processos legais, com uma partilha de dados em 48,47% das instâncias, e outros três pedidos relacionados com situações de emergência, todos com resposta positiva. Não são revelados outros detalhes sobre os pedidos e não é possível perceber quais são as plataformas do grupo que estão em causa (Facebook, WhatsApp ou Instagram).