Criptografia no WhatsApp. O código de segurança mudou o WhatsApp, o que é – TI versus serviços de inteligência

Que foi encontrado um problema no WhatsApp que, em teoria, permite que funcionários do Facebook e outros terceiros leiam a correspondência dos usuários. Embora os representantes do Facebook digam que irão interceptar mensagens do WhatsApp ninguém pode, o pesquisador Tobias Boelter, da Universidade da Califórnia em Berkeley, discorda deles.

Boelter disse aos repórteres do Guardian que o problema está relacionado à implementação do protocolo de criptografia ponta a ponta usado pelo mensageiro. Deixe-me lembrá-lo de que a criptografia ponta a ponta do WhatsApp é baseada no protocolo Signal criado pela Open Whisper Systems. O mensageiro gera chaves de criptografia exclusivas, que protegem a correspondência do usuário. Mas o pesquisador descobriu que o WhatsApp pode forçar a geração de novas chaves, por exemplo, se o usuário por muito tempo não apareceu online ou mudou de dispositivo. E esse recurso do mensageiro não era conhecido anteriormente.

Como resultado, surge uma situação estranha: o usuário envia uma mensagem para um destinatário que está offline há muito tempo. A mensagem trava como não enviada e, enquanto o usuário está offline, o WhatsApp consegue alterar a chave de criptografia, que nem o remetente nem o destinatário têm conhecimento. Como resultado, ao receber uma mensagem reenviada, o destinatário não saberá o que aconteceu, e o remetente da mensagem receberá uma notificação sobre a alteração da chave de criptografia somente se tiver habilitado anteriormente tal opção nas configurações de segurança. Além disso, a notificação será mostrada após o reenvio da mensagem.

Segundo Boelter, este é um problema sério. “Se um órgão governamental exigir que o WhatsApp divulgue os dados de comunicação do usuário, o acesso poderia ser essencialmente concedido por meio de uma mudança fundamental”, afirma o pesquisador.

Em abril de 2016, um especialista relatou a vulnerabilidade encontrada aos representantes do Facebook. Em seguida, o pesquisador foi informado de que a empresa estava ciente do problema, chamou esse recurso de operação do mensageiro de “comportamento esperado” e disse que não iria consertar o bug (ou devo dizer backdoor?) em um futuro próximo.

“A implementação do protocolo Signal que o WhatsApp utiliza permite habilitar a opção “Mostrar notificações de segurança” (Configurações -> Conta-> Segurança), que irá avisar que o código de segurança do contato foi alterado. Sabemos que isso acontece principalmente quando alguém troca de telefone ou reinstala o WhatsApp. Porque na maioria dos países do mundo as pessoas trocam de dispositivo e cartão SIM com frequência. Nestas circunstâncias, queremos que as mensagens cheguem aos destinatários em vez de se perderem no trânsito.

O WhatsApp não fornece aos governos um backdoor para seus sistemas e combaterá quaisquer solicitações governamentais de backdoors”, disse um porta-voz do WhatsApp ao Guardian.

Vale dizer que o Signal messenger, que também é baseado no protocolo de mesmo nome, não apresenta esse problema. Se a chave de criptografia do destinatário foi alterada enquanto ele estava offline, o envio da mensagem falhará e o remetente receberá uma notificação de que a chave foi alterada. O Signal não prevê o reenvio automático de mensagens – esse é um recurso de implementação própria utilizado pelo WhatsApp.

“Alguns podem pensar que esta vulnerabilidade permite interceptar apenas mensagens individuais, e não conversas inteiras. Isso está errado. Deve-se levar em consideração que o servidor do WhatsApp é capaz de redirecionar mensagens sem exibir a notificação de “mensagem recebida pelo destinatário” (ou uma marca de seleção dupla), o que significa que o usuário pode não perceber isso. Ao explorar a vulnerabilidade associada a tal retransmissão, o servidor WhatsApp pode posteriormente restaurar cópia completa toda a conversa, não apenas uma única mensagem”, explica Boelter.

Os jornalistas do Guardian observam que os especialistas em segurança da informação e os activistas dos direitos humanos já chamaram este problema de “uma mina de ouro para as agências de aplicação da lei, uma enorme traição à confiança dos utilizadores e uma ameaça à liberdade de expressão”.

Recentemente, o WhatsApp se tornou um dos mensageiros instantâneos mais populares não apenas na Rússia, mas em todo o mundo. Com ele, é conveniente realizar correspondência, transferir dados e fazer chamadas. E claro, qualquer usuário quer ter certeza de que ninguém poderá ouvir suas ligações, ler sua correspondência e os arquivos ficarão à disposição apenas para ele e para o interlocutor. É por isso que você não deve perder de vista um parâmetro como a segurança.

Nível de segurança do WhatsApp. Segurança da informação

Em primeiro lugar, segurança é a confidencialidade, disponibilidade e integridade da informação. Empresa de desenvolvimento deve proporcionar aos seus usuários a confiança de que todos esses três parâmetros de segurança estão funcionando no nível adequado.

O WhatsApp tem uma história muito rica em termos de segurança. Há vários anos, descobriu-se que inicialmente, quando o aplicativo foi lançado pela primeira vez, a segurança do WhatsApp era alcançada apenas por meio do hash da senha usando o algoritmo MD5. Aqueles. um invasor pode obter facilmente a senha do usuário quase sem esforço. Os desenvolvedores decidiram corrigir sua reputação colaborando com criptográfico pela Open Whisper Systems.

Atualmente Horário do WhatsApp usa tecnologia segura de criptografia de dados, a chamada criptografia ponta a ponta. Para quem não sabe o que é, vamos tentar explicar em palavras simples.

Vamos imaginar que existem dois usuários Dima e Kolya. Tanto Dima quanto Kolya têm duas chaves geradas. A primeira chave (pública) destina-se à criptografia de mensagens, e a segunda (privada) destina-se ao processo inverso - descriptografia. Respectivamente chave pública está em acesso aberto, ou seja, absolutamente qualquer usuário pode visualizá-lo, mas somente o proprietário da chave privada pode descriptografá-lo. Assim, tendo gerado um par de chaves, Dima e Kolya iniciam uma comunicação segura, uma vez que apenas o autor da mensagem e seu destinatário possuem a chave de descriptografia.

No entanto, apesar do fato de a segurança do WhatsApp ser fornecida por meio de criptografia de ponta a ponta, a segurança do WhatsApp não está à altura. Por exemplo, o WhatsApp não está protegido contra ataques Dos, mas de uma forma um pouco única. Os desenvolvedores do WhatsApp limitaram o tamanho da mensagem a 6.600 caracteres. Mas se a mensagem contiver 4.400 emoticons, o aplicativo WhatsApp irá travar devido a um buffer overflow. A única maneira de se livrar desse problema é no momento— excluir correspondência com esse remetente. Deve-se notar que a segurança do WhatsApp no ​​iOS não pode ser prejudicada por tal ataque.

Muito recentemente, em 15 de março de 2017, tornou-se conhecida essa vulnerabilidade, através da qual invasores poderiam tomar o poder total sobre uma conta via WhatsApp Web. Como o WhatsApp permite que você envie vários tipos dados, código malicioso disfarçada de imagem normal, ao clicar na qual o invasor obtém acesso ao conteúdo do usuário. Esta vulnerabilidade foi relevante não só para o WhatsApp, mas também para o Telegram. A nova atualização ajudou a eliminar esse bug.

Outro fato interessante. Como descobriu um especialista em iOS segurança da informação o histórico de bate-papo apagado pode ser restaurado, pois o WhatsApp não exclui completamente o histórico. Isso se deve ao fato do messenger utilizar um banco de dados SQLite (DB) para armazenar correspondência. E quando o usuário tenta deletar as mensagens selecionadas, elas não são deletadas, mas sim movidas para a chamada lista livre. Aqueles. Posteriormente, o WhatsApp substitui essas mensagens por novas. Mas a peculiaridade é que algumas mensagens podem esperar pela sua vez um único mês antes de desaparecerem completamente.

Os usuários do iOS precisam ter mais cuidado. A segurança do WhatsApp representa riscos adicionais para eles. Se um usuário da plataforma iOS criar um backup das conversas do WhatsApp, o banco de dados SQLite salva o histórico de mensagens não criptografadas nos servidores da Apple. Um especialista em segurança da informação do iOS recomenda excluir periodicamente o WhatsApp do aparelho para zerar o banco de dados e também, se possível, não utilizar backups do iCloud.

Outra vulnerabilidade também é conhecida. O WhatsApp pode gerar novos pares de chaves caso o usuário não esteja online há muito tempo e não avise os participantes da correspondência sobre o ocorrido. Isso significa que se um assinante enviar uma mensagem para um usuário que não está online há muito tempo ou que excluiu o aplicativo do telefone, a mensagem pode ser perdida, ou seja, não chegar ao destinatário final.

Mas metade desse defeito ainda pode ser corrigido.

Então, por que esta opção corrige apenas parcialmente a situação? O fato é que o WhatsApp não suporta o reenvio de mensagens, mas pode avisar ao remetente que a chave de criptografia foi atualizada.

Senha do WhatsApp

Às vezes você tem que esconder sua correspondência de olhares indiscretos. O método descrito abaixo, é claro, não salvará seus dados de hackers profissionais, mas é bem possível que seu telefone caia nas mãos de quem possa colocar as mãos nele.

O aplicativo ChatLock permite definir uma senha para qualquer mensageiro, inclusive o WhatsApp.

Agora, após cada tentativa de login no WhatApp, o sistema pedirá uma senha ao usuário. Se a tentativa não for bem sucedida, o login não será concluído.

Resumindo, não se pode dizer que a segurança no WhatsApp esteja no nível adequado. Como qualquer outro mensageiro, o WatsApp tem suas desvantagens. Mas sabendo exatamente quais vulnerabilidades existem no aplicativo, você pode se proteger de muitas situações desagradáveis.

Como os dados são criptografados em 6 aplicativos de mensagens populares. E vale a pena acreditar?

Sobre o surgimento dos mensageiros instantâneos e a questão da privacidade

Antigamente, o principal meio de comunicação na Internet era e-mail(basta lembrar a correspondência épica entre Linus Torvalds e Andrew Tanenbaum, e não é fato que alguém hackeou o e-mail de um deles, o próprio Linus publicou a correspondência em seu livro “Just for Fun”), ninguém realmente pensou em qualquer criptografia .

Mas isso não impediu que indivíduos criptografassem/descriptografassem cartas em um computador local, embora conhecessem a chave compartilhada. Mas não foi muito difundido, poucas pessoas se interessaram por isso. Houve momentos.

Na primeira metade da década de 90, as salas de chat tornaram-se muito populares como meio de comunicação. Deve-se notar que sua popularidade foi elevada até meados da primeira década do século XXI. Tenho certeza de que todos os leitores do recurso sabem, e alguns podem se lembrar dos bate-papos, então não vou me alongar sobre eles.

ICQ

ICQ apareceu em 1996. Foi desenvolvido pela empresa israelense Mirabilis. Não foi o primeiro e único sistema de mensagens instantâneas, mas pelas suas vantagens tornou-se o mais popular, por exemplo, naquela época, os desenvolvedores de aplicativos de mensagens instantâneas optaram pela monetização vendendo-os, e o ICQ era gratuito. Naquela época não se falava em criptografia.

O protocolo proprietário OSCAR foi usado para transferência de dados. Dois anos depois, a Mirabilis foi adquirida pela empresa americana AOL e, junto com o mensageiro, pertenceu a ela até 2010. E, neste ano, os direitos do ICQ foram vendidos para o Grupo Mail.Ru.

Após o advento do ICQ, os sistemas concorrentes de mensagens instantâneas começaram a aparecer como cogumelos depois da chuva. Durante a vida do ICQ, surgiram um grande número de modificações oficiais e clientes não oficiais, exemplos dos quais são QIP, Miranda e muitos outros. Entre os programas concorrentes que buscavam suplantar o ICQ, o MSN Messenger da Microsoft foi lançado em 1999.

Este último procurou substituir o cliente ICQ utilizando seu protocolo, mas não deu certo; a AOL interrompeu as tentativas alterando o protocolo.

Naquela época, não se falava de criptografia no mensageiro oficial do ICQ, já que os termos de uso estipulavam a possibilidade de utilização de quaisquer dados transmitidos entre interlocutores por terceiros (AOL) para qualquer finalidade. Ao mesmo tempo, clientes alternativos poderia concretizar esta oportunidade.

Este foi o século XX.

Sobre a necessidade de criptografia de dados

Inicialmente, a necessidade de criptografia surgiu não para proteger os segredos do “irmão mais velho”, mas para proteger contra hackers, interceptação e modificação de dados. Os usuários não enviam apenas: “Olá, como vai?” junto com fotografias de gatos, mas às vezes informações muito valiosas e secretas: digitalizações de documentos pessoais, passagens aéreas, códigos-fonte e/ou distribuições de novos programas/jogos/aplicativos e muitas outras informações confidenciais.

E os usuários não gostariam que alguém pudesse interceptar e ler facilmente seus dados (sinto pena especialmente dos códigos-fonte).

Mas a grande maioria dos usuários ainda estava na ignorância infantil, pensando: “ninguém precisa dos meus dados” e presumindo que estavam seguros. Mas então, como um raio do nada (em 2013), Edward Snowden apareceu e denunciou todo mundo. Em suma, ele disse isso de forma especial. os serviços monitoram cada mensagem, cada ligação, cada compra na loja online.

Os usuários que antes se sentiam protegidos encontram-se na palma da mão de um “irmão mais velho” que é capaz de cuidar de qualquer assunto íntimo. A partir daqui a corrida pela criptografia começou, ou melhor, continuou com um zelo redobrado.

Sobre criptografia

A grande maioria dos especialistas em segurança da informação reconhece a criptografia ponta a ponta como o método mais durável de proteger informações. Portanto, os desenvolvedores de sistemas de mensagens instantâneas o implementam em seus produtos. Alguns já o implementaram, outros estão a caminho disso. Mas com o tempo, todos terão isso, até mesmo os gigantes da indústria que não são avessos a entrar nos dados dos usuários.

Com a criptografia ponta a ponta, as chaves utilizadas para criptografar e descriptografar as informações são geradas e armazenadas apenas nos nós finais da correspondência, ou seja, em seus participantes. O lado do servidor não participa na criação das chaves e, portanto, não tem acesso às mesmas, pelo que vê apenas os dados encriptados transmitidos entre os participantes. Somente este último pode decodificar e ler as informações.

Como funciona a criptografia ponta a ponta? Ao iniciar uma sessão de comunicação, são geradas 2 chaves no dispositivo de cada interlocutor: pública e privada. Este último é usado para descriptografar dados; esta chave não sai do dispositivo local.

A chave pública é transmitida através de um canal de comunicação aberto ao interlocutor (um ou todos, se houver vários). Usando uma chave pública, o interlocutor só pode criptografar os dados, e apenas o proprietário da chave privada correspondente pode descriptografá-los. Portanto, não importa quem intercepta a chave pública. Como resultado disso, ele só poderá transmitir seus dados criptografados.

Tendo gerado um par de chaves, os interlocutores trocam chaves públicas, após o que se inicia a comunicação segura.

Texto, vídeo, áudio, arquivos, após serem criptografados pelo remetente, vão para o servidor onde ficam armazenados até que o destinatário consiga receber os dados. Depois disso, dependendo da estratégia da empresa proprietária do servidor, os dados são destruídos ou armazenados por outro período.

Como podemos ver: a criptografia ponta a ponta é boa. Para as ferramentas TIC modernas, a encriptação/desencriptação não será uma tarefa impossível, nem sequer uma tarefa difícil. Ao mesmo tempo, se vários interlocutores estiverem envolvidos em uma conversa, então, ao enviar uma mensagem, ela deve ser criptografada para cada um, portanto, à medida que aumenta o número de interlocutores, a carga no dispositivo aumenta igualmente. Para conseguir isso, os desenvolvedores estão otimizando os meios de organização de conversas em grupo.

A ideia de ponta a ponta não é nova. Em 1991, Phil Zimmerman desenvolveu programas para criptografar mensagens e outros dados com PGP (Pretty Good Privacy). Nos anos seguintes, o algoritmo e o software correspondente foram aprimorados e adquiriram mecanismos adicionais.
Em 1997, a PGP Inc. propôs a iniciativa OpenPGP e, em 1999, membros do movimento do software livre criaram uma implementação livre do PGP, o GnuPG, baseada em um padrão aberto.

Isto tudo para dizer que como o hacking do PGP ainda não foi detectado, com base na implementação aberta do PGP (os códigos-fonte estão disponíveis) é possível criar mecanismos de criptografia, que é o que os desenvolvedores de mensageiros provavelmente estão fazendo. Não escreva do zero.

Criptografia em ferramentas de mensagens instantâneas

No século 21, surgiram ainda mais mensageiros; prestaremos atenção apenas aos mais populares - aqueles que resistiram à concorrência.

Mas primeiro, sobre o ICQ. Conforme mencionado acima, nesta aplicação os dados são transmitidos via OSCAR (mensagens de texto). Em 2008, foi aberto, mas ainda não é gratuito. A abertura do protocolo possibilitou a realização de auditorias por pesquisadores independentes, o que é um ponto importante para a confiança geral na segurança das aplicações de rede. Muitos clientes alternativos, incluindo: Miranda, QiP, suportam criptografia baseada em PGP há algum tempo.

Porém, somente na primavera deste ano o ICQ, além do texto, recebeu criptografia ponta a ponta em duas frentes: áudio e vídeo. Como sabemos este tipo a criptografia nos permite evitar a leitura de dados por terceiros (Mail.ru), mas ao mesmo tempo lembramos: os termos de uso estipulavam a possibilidade de utilização de quaisquer dados transmitidos.

Skype. Mais usado

Foi criado em 2003 pela empresa luxemburguesa Skype Limited (principalmente por programadores estonianos). Ainda é um mensageiro muito popular, obviamente devido à inércia. Em 2011, a Skype Limited foi adquirida pela Microsoft. Anteriormente, esta última queria comprar o ICQ, mas não deu certo; ela não perdeu a segunda chance com outro mensageiro. O Skype possui portas para todos os dispositivos e sistemas operacionais comuns.

No início, o Skype usava o protocolo proprietário original, do qual todos os especialistas reclamavam. serviço devido à incapacidade de hackeá-lo. Mas, após a compra da Microsoft, o protocolo anterior foi declarado obsoleto e substituído pela versão 24 do MSNP. O protocolo é seguro contra ataques externos porque é usado o algoritmo de criptografia AES-256. Ao mesmo tempo, se o interlocutor participar da conversa a partir de um telefone fixo normal ou celular, então seus dados não serão criptografados.

No entanto, a Microsoft está se tornando especial. serviços para concessões, fornecendo os dados solicitados. Portanto, embora os dados sejam transferidos entre os participantes da conversa de forma criptografada, eles podem ser descompactados e lidos no servidor.

Depois de 2003, ninguém, em geral, lidou com mensagens instantâneas durante vários anos, não era lucrativo, o Skype trazia prejuízos quase todos os anos.

WhatsApp. O mensageiro móvel mais popular

Isso continuou até 2009, quando o WhatsApp apareceu. No início, e durante muito tempo (até ao início deste ano), a aplicação foi paga. Além disso, não havia criptografia. Para a transferência de dados, utiliza-se o protocolo XMPP aberto e gratuito, baseado em XML, que envolve a transferência não apenas de mensagens de texto, mas também de arquivos de áudio, vídeo, binários/texto;

Os trabalhos de segurança do mensageiro começaram em 2012 com a criptografia de mensagens de texto. Mas foi apenas na primavera deste ano que a criptografia ponta a ponta foi introduzida não apenas para texto, mas também para mensagens de voz e vídeo. Conseqüentemente, depois disso, o lado do servidor perdeu a capacidade de ler as informações do usuário.

Devido à sua grande popularidade, o WhatsApp foi adquirido pelo Facebook em 2014. Por que houve mudanças no plano de pagamento?

Viber. O mensageiro mais popular na Rússia

Então, em 2010, apareceu o Viber - uma ferramenta de telefonia IM e VoIP. Mas foi somente na primavera deste ano que a transmissão de quaisquer dados passou a ser criptografada. Claro, os desenvolvedores implementaram criptografia ponta a ponta.

iMessage. Segurança total está em questão

Desenvolvido em 2011. O primeiro estágio da criptografia parece ser forte: a mensagem é criptografada com uma combinação de uma chave pública RSA de 1280 bits e um algoritmo AES de 128 bits. E a assinatura é realizada com base no algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm). Os interlocutores trocam chaves para criar criptografia. À primeira vista, tudo é legal.

Segundo os desenvolvedores, as versões mais recentes do mensageiro usam criptografia ponta a ponta; a incapacidade dos funcionários da empresa de ler mensagens está em questão; Conforme mencionado na seção “Sobre criptografia”: ao enviar dados, eles são armazenados de forma criptografada no servidor da empresa proprietária deste servidor.

À primeira vista, a situação é padrão, mas a chave privada do usuário, que permanece no aparelho, tem ligação com a senha do usuário. Este último, por sua vez, está disponível na Apple. De que outra forma as senhas podem ser recuperadas se o dispositivo for perdido? Isto torna possível recuperar a chave e descriptografar mensagens.

Telegrama. Criptografia MTProto lendária

Apareceu em 2013, graças ao conjunto dos irmãos Durov. Um destes últimos divulga incansavelmente informações sobre a supersegurança de sua ideia. Portanto, muito debate tem sido levantado em relação à segurança do Telegram. A segurança absoluta é uma questão altamente controversa.

Antes de enviar os dados através de um protocolo de transporte (http, tcp, udp), eles são criptografados pelo protocolo MTProto, um desenvolvimento conjunto dos irmãos. Consiste em três componentes independentes: um componente de alto nível, uma camada criptográfica e um componente de entrega. O primeiro define o método pelo qual as solicitações e respostas da API são convertidas em código binário.

O segundo define o método que criptografa as mensagens antes do envio, e o último define como as mensagens são transmitidas (tipo de protocolo de transporte). Durante a preparação do pacote, um cabeçalho externo é adicionado ao topo da mensagem; é um identificador de chave de 64 bits que identifica exclusivamente as chaves de autorização do usuário e do servidor.

Juntos, eles representam uma chave de 256 bits e o mesmo vetor de inicialização de bits. Este último é usado para criptografar a mensagem usando o algoritmo AES-256. A mensagem criptografada inclui: sessão, ID da mensagem, número de sequência da mensagem, salt do servidor. Esses dados, por sua vez, influenciam a chave da mensagem.

Desta forma a mensagem é criptografada. O Telegram tem a opção de usar criptografia ponta a ponta ou permitir que o servidor veja os dados. Em primeiro lugar, o segundo modo serve para evitar atrair atenção desnecessária de especialistas. serviços, ele está habilitado por padrão.

O primeiro modo protegido é chamado de chat secreto (sala secreta) e funciona de acordo com todas as leis da criptografia ponta a ponta. O usuário pode ativar este modo à vontade.

Porém, em ambos os casos, as mensagens ficam armazenadas no servidor por um determinado tempo. No primeiro caso, não podem ser lidos, mas no segundo, podem. A duração deste tempo é controlada pelo usuário.

Resultados

Hoje, em termos de segurança, podemos imaginar toda a variedade de mensageiros instantâneos modernos em duas categorias: mensageiros instantâneos que implementam criptografia completa de ponta a ponta e a segunda categoria, são sistemas de mensagens que apenas tentam ser semelhantes ao primeiro categoria, embora criptografem os dados enviados, no servidor esses dados podem ser facilmente lidos.

Afirma que todos os mensageiros instantâneos criptografados são vulneráveis, especialmente o Whatsapp. O material causou muito barulho, mas é tão triste mesmo? A empresa especializada em segurança da Internet Open Whisper Systems afirma que nada de novo foi escrito no The Guardian e que eles atacaram o WhatsApp em vão.

Na primavera passada, o Whatsapp lançou a maior atualização de sua história – a adição de um recurso de criptografia forçada de ponta a ponta, o que significa essencialmente que ninguém, incluindo o Whatsapp, pode ler sua correspondência. A investigação de ontem do The Guardian apresenta a opinião de um especialista que afirma que o Whatsapp deixou deliberadamente um “backdoor” em seu código para possível interceptação de mensagens por agências de inteligência e outros interessados. Os próprios desenvolvedores do Whatsapp afirmam que isso não é verdade e que o comportamento potencialmente inseguro de seu aplicativo nada mais é do que facilitar a vida de seus muitos usuários.

Segurança Correspondência Whatsapp foi desenvolvido com a ajuda da Open Whisper Systems, mesma empresa que desenvolveu o mensageiro mais seguro do mundo - Signal, e em seu blog a empresa descreve detalhadamente como tudo funciona. O WhatsApp implementou o protocolo Signal (e também foi implementado no recente Google Allo), que emite a cada usuário duas chaves de segurança: uma chave pública pela qual outros usuários podem identificá-lo e uma chave privada pessoal que será atribuída ao dispositivo . À medida que as pessoas mudam de telefone e aplicativos com frequência, suas chaves de segurança também mudam de acordo. Os usuários podem garantir a privacidade de suas comunicações dentro do Whatsapp verificando o código de segurança em cada dispositivo participante da conversa – se os códigos coincidirem, isso significará que não há interceptação de mensagens entre os interlocutores (esse tipo de ataque é denominado homem- no meio, MITM).

The Guardian é baseado em uma investigação de Tobias Belter. Ele afirma que o servidor do Whatsapp pode ser hackeado a partir de solicitações de terceiros. Ou seja, o WhatsApp pode gerar uma nova chave de segurança e distribuí-la para esses mesmos terceiros até que os usuários percebam que algo aconteceu. No mensageiro do aplicativo Signal, qualquer substituição da chave de segurança resulta na impossibilidade de envio de uma mensagem e em um aviso de segurança, e tudo isso acontece antes que o usuário esteja prestes a encaminhar a mensagem novamente e de forma independente. No Whatsapp, o usuário recebe uma notificação sobre uma mudança de chave, e a mensagem será automaticamente recodificada para a nova chave e enviada ao destinatário. Ou seja, só assim você conseguirá descobrir se a nova chave realmente corresponde ao seu destinatário. Apesar de esta configuração de aviso em seu Whatsapp ainda precisar ser habilitada manualmente:

A Open Whisper Systems explica esse comportamento do Whatsapp pela simplicidade ideológica de uso do mensageiro. Além disso, os servidores do Whatsapp não sabem quem ativou a configuração de aviso e quem não o fez – portanto, uma tentativa de hacking pode ser detectada rapidamente. De qualquer forma, os “advogados” do Whatsapp insistem que tal política de segurança pode ser chamada como você quiser, mas não é uma vulnerabilidade ou um backdoor. Este é um “recurso”.

Muitos especialistas em segurança ocidentais concordam com as conclusões da Open Whisper Systems:

É ridículo que isso seja apresentado como uma porta dos fundos. Se você não verificar as chaves, a autenticidade das chaves não será garantida. Fato bem conhecido.

Frederic Jacobs (@FredericJacobs)

Criptografia de mensagens no Whatsapp – o que é e por que é necessária? Esta pergunta é feita por muitos usuários deste aplicativo, que já se popularizou. Isso e muito mais serão discutidos mais adiante.

Por que a criptografia é necessária?

Por que o dono do WhatsApp habilitou a criptografia? Não se sabe ao certo que tipo de conflito ocorreu entre as forças de segurança dos países, suas associações e a gestão da empresa, mas agora o Whatsapp criptografa completamente todos os dados enviados pelos usuários. Acontece que apenas o remetente e o destinatário das mensagens podem ver o seu conteúdo. Estes incluem:

• Mensagem de texto, incluindo emoticons.
• Foto.
• Vídeo.
• Foto.
• Arquivos compilados (mistos).
• Ligue (mensagem de áudio).

Na verdade, foi necessário habilitar a criptografia para resistir aos cibercriminosos e outros usuários, físicos e pessoas jurídicas quem pode ter acesso a este tipo de dados. Mesmo para a própria empresa, a correspondência de usuários individuais está agora completamente fechada para visualização. Quer você queira ou não, ao se comunicar nesta Rede por meio de chats em grupo, você trocará dados com conteúdos protegidos, que não podem ser removidos.

Jan Koum, um dos proprietários do WhatsApp, acredita que os dados enviados pelos usuários entre si não podem ser usados ​​ou visualizados por terceiros. É por isso que a criptografia é necessária no Whatsapp. É chamada de “criptografia ponta a ponta” e é executada por padrão. A descriptografia também é realizada automaticamente pelo dispositivo do destinatário da mensagem.

O que é criptografia ponta a ponta?

Se você usa o WhatsApp para negociações versão mais recente Programa Whatsapp IOS, todas as mensagens enviadas ao interlocutor são necessariamente criptografadas por um software especial. Isso é chamado de “criptografia ponta a ponta”. O facto da sua presença dá cem por cento de garantia de confidencialidade a qualquer utilizador. Porque este tipo A proteção da informação está ativada o tempo todo, é impossível desativá-la e não é necessário.

Cada vez que você envia uma mensagem de qualquer tamanho e conteúdo, ela é criptografada separadamente (isso significa que você está protegido), portanto possui sua própria chave. Somente a pessoa que enviou a mensagem a possui, bem como o destinatário pretendido desta informação.

Você pode verificar a codificação de uma das seguintes maneiras:

É especialmente fácil fazer a segunda opção de verificação se você e seu interlocutor puderem se encontrar na vida real, ou seja, vocês estiverem geograficamente próximos. Nesse caso, um de vocês pode escanear o código QR do dispositivo de um amigo (não importa se é Android ou outro dispositivo) do qual ele usa o WhatsApp, ou comparar visualmente todos os sessenta dígitos.

Observe que mesmo 60 dígitos do código QR não são toda a “criptografia”, mas apenas parte dela. Ocultar parte do código de todos é uma medida adicional que garantirá a segurança da comunicação e troca de informações.

Se o código não corresponder, significa que você leu por engano o código de outro chat ou de outro usuário. Isso também pode indicar uma versão desatualizada do programa. O mesmo é indicado pela mensagem sobre a falta de criptografia que aparece quando você tenta descobrir esse código.

O processo descrito acima é denominado “Verificar código de segurança”, mas não é um procedimento obrigatório.

Você também pode verificar se qualquer um dos seus bate-papos está em conformidade com esses novos padrões de segurança. Para isso, você precisa ir até o contato desejado no programa, clicar em “Ver contato”, selecionar “Criptografia”. Após a verificação bem-sucedida, você pode enviar mensagens de voz, mensagens de texto contendo emoticons e qualquer outra informação. Agora você não precisa se preocupar. Você não tem medo de invasões externas durante a comunicação!

Como funciona a criptografia?

Este tipo de proteção dos dados enviados funciona da seguinte forma:

1. O usuário A (mais precisamente, seu dispositivo) solicita uma chave pública ao servidor da empresa proprietária do programa mensageiro.
2. Uma mensagem é enviada de A para B, pré-codificada com esta chave.
3. O dispositivo do usuário B descriptografa a mensagem após o recebimento.

Então, em mundo moderno repleto de informações úteis e prejudiciais ou incorretas, é necessário proteger os dados contra influências não autorizadas e roubo. Ao usar o WhatsApp, essa proteção criptografada pode ser realizada automaticamente.