Por que o WhatsApp nunca será seguro

Por que o WhatsApp nunca será seguro

Pavel Durov

O mundo parece estar chocado com a notícia de que o WhatsApp transformou qualquer telefone em spyware. Tudo no seu telefone, incluindo fotos, e-mails e textos, era acessível por invasões, só porque você tinha o WhatsApp instalado [1] .  

Esta notícia não me surpreendeu. No ano passado, o WhatsApp teve que admitir que tinha um problema muito parecido - uma única chamada de vídeo via WhatsApp era tudo que um hacker precisava para ter acesso a todos os dados do seu telefone. [2] . 

Toda vez que o WhatsApp precisa consertar uma vulnerabilidade crítica em seu aplicativo, um novo parece aparecer em seu lugar. Todos os seus problemas de segurança são convenientemente adequados para vigilância, e parecem e funcionam muito como backdoors.

Ao contrário do Telegram, o WhatsApp não é de código aberto, então não há como um pesquisador de segurança verificar facilmente se há backdoors em seu código. Não apenas o WhatsApp não publica seu código, eles fazem algo oposto: O WhatsApp ofusca deliberadamente os binários de seus aplicativos para garantir que ninguém possa estudá-los completamente.

O WhatsApp e sua empresa-mãe, o Facebook, podem até mesmo ser obrigados a implementar backdoors - por meio de processos secretos, como as ordens de mordaça do FBI [3]. Não é fácil executar um aplicativo de comunicação seguro nos EUA. Duas semanas que nossa equipe passou nos EUA em 2016 nos conseguiu 3 tentativas de infiltração do FBI [4] [5]. Imagine o que 10 anos nesse ambiente podem trazer para uma empresa norte-americana.

Eu entendo que as agências de segurança justificam o plantio de backdoors por esforços anti-terrorristas. O problema é que esses backdoors também podem ser usados por criminosos e governos autoritários. Não é de admirar que os ditadores parecem amar o WhatsApp. Sua falta de segurança permite que eles espiem seu próprio povo, então o WhatsApp continua disponível gratuitamente em lugares como a Rússia ou o Irã, onde o Telegram é proibido pelas autoridades [6].

Na verdade, comecei a trabalhar no Telegram como uma resposta direta à pressão pessoal das autoridades russas. Naquela época, em 2012, o WhatsApp ainda estava transferindo mensagens em texto simples em trânsito. Isso foi insano. Não apenas governos ou hackers, mas provedores móveis e administradores de Wi-Fi tinham acesso a todos os textos do WhatsApp [7] [8].

Mais tarde, o WhatsApp adicionou alguma criptografia, o que rapidamente se tornou uma jogada de marketing: a chave para descriptografar mensagens estava disponível para pelo menos vários governos, incluindo os russos [9]. Então, quando o Telegram começou a ganhar popularidade, os fundadores do WhatsApp venderam sua empresa para o Facebook e declararam que “a privacidade estava em seu DNA” [10]. Se for verdade, deve ter sido um gene dormente ou recessivo.

Há 3 anos, o WhatsApp anunciou que implementou criptografia de ponta a ponta para que “nenhum terceiro possa acessar mensagens”. Isso coincidiu com um esforço agressivo para que todos os usuários fizessem backup de seus bate-papos na nuvem. Ao fazer esse esforço, o WhatsApp não informava aos usuários que, quando submetidos a backup, as mensagens não são mais protegidas por criptografia de ponta a ponta e podem ser acessadas por hackers e pela aplicação da lei. Marketing brilhante e algumas pessoas ingênuas cumprindo pena na prisão como resultado [11].

Aqueles resilientes o suficiente para não cair em popups constantes dizendo-lhes para fazer backup de seus bate-papos ainda podem ser rastreados por uma série de truques - desde o acesso aos backups de seus contatos até as mudanças invisíveis na chave de criptografia [12]. Os metadados gerados pelos usuários do WhatsApp - registros descrevendo quem conversa com quem e quando - vazam para todos os tipos de agências em grandes volumes pela empresa-mãe do WhatsApp [13]. Além disso, você tem uma mistura de vulnerabilidades críticas sucedidas entre si.

O WhatsApp tem um histórico consistente - desde a criptografia zero no início até uma sucessão de problemas de segurança estranhamente adequados para fins de vigilância. Olhando para trás, não houve um único dia na jornada de 10 anos do WhatsApp que este serviço foi seguro. É por isso que não acho que apenas atualizar o aplicativo para dispositivos móveis do WhatsApp o torne seguro para qualquer pessoa. Para o WhatsApp se tornar um serviço voltado para a privacidade, ele tem que arriscar perder mercados inteiros e entrar em conflito com as autoridades de seu país de origem. Eles não parecem estar prontos para isso [14].

No ano passado, os fundadores do WhatsApp deixaram a empresa devido a preocupações com a privacidade dos usuários [15]. Eles são definitivamente amarrados por ordens de mordaça ou NDAs, então são incapazes de discutir backdoors publicamente sem arriscar perder suas fortunas e liberdade. Eles foram capazes de admitir, no entanto, que "eles venderam a privacidade de seus usuários" [16].

Eu posso entender a relutância dos fundadores do WhatsApp em fornecer mais detalhes - não é fácil colocar seu conforto em risco. Vários anos atrás eu tive que deixar meu país após me recusar a cumprir as violações de privacidade sancionadas pelo governo aos usuários do VK [17]. Não foi agradável. Mas eu faria algo assim de novo? Com prazer. Cada um de nós vai morrer eventualmente, mas nós, como espécie, vamos ficar por um tempo. É por isso que acho que acumular dinheiro, fama ou poder é irrelevante. Servir a humanidade é a única coisa que realmente importa a longo prazo.

E, no entanto, apesar de nossas intenções, sinto que deixamos a humanidade triste em toda essa história de spyware do WhatsApp. Muitas pessoas não conseguem parar de usar o WhatsApp porque seus amigos e familiares ainda estão nele. Isso significa que nós do Telegram fizemos um trabalho ruim de persuadir as pessoas a mudarem. Embora tenhamos atraído centenas de milhões de usuários nos últimos cinco anos, isso não foi suficiente. A maioria dos internautas ainda é mantida como refém pelo império Facebook/WhatsApp/Instagram. Muitos dos que usam o Telegram também estão no WhatsApp, o que significa que seus telefones ainda estão vulneráveis. Mesmo aqueles que abandonaram completamente o WhatsApp provavelmente estão usando o Facebook ou o Instagram, ambos acham que não há problema em armazenar suas senhas em texto simples [18] [19] (eu ainda não consigo acreditar que uma empresa de tecnologia poderia fazer algo assim e se safar disto).

Em quase seis anos de existência, o Telegram não apresentou nenhum vazamento de dados ou falha de segurança do tipo que o WhatsApp demonstra a cada poucos meses. Nos mesmos 6 anos, divulgamos exatamente zero bytes de dados para terceiros, enquanto o Facebook/WhatsApp vem compartilhando praticamente tudo com todos que afirmaram que trabalharam para um governo [13].

Poucas pessoas de fora da comunidade de fãs do Telegram percebem que a maioria dos novos recursos em mensagens aparece no Telegram primeiro, e são então copiados em carbono pelo WhatsApp nos mínimos detalhes. Mais recentemente, estamos testemunhando a tentativa do Facebook de emprestar toda a filosofia do Telegram com Zuckerberg declarando de repente a importância da privacidade e da velocidade, praticamente citando a descrição do aplicativo do Telegram, palavra por palavra, em seu discurso no F8.

Mas lamentar a hipocrisia do FB e a falta de criatividade não ajudará. Temos que admitir que o Facebook está executando uma estratégia eficiente. Veja o que eles fizeram com o Snapchat [20].

Nós do Telegram temos que reconhecer nossa responsabilidade em formar o futuro. Somos nós ou o monopólio do Facebook. É liberdade e privacidade ou ganância e hipocrisia. Nossa equipe tem competido com o Facebook nos últimos 13 anos. Nós já os vencemos uma vez, no mercado de redes sociais da Europa Oriental [21]. Nós vamos vencê-los novamente no mercado global de mensagens. Nós temos.

Não será fácil. O departamento de marketing do Facebook é enorme. Nós do Telegram, no entanto, fazemos marketing zero. Não queremos pagar jornalistas e pesquisadores para contar ao mundo sobre o Telegram. Para isso, contamos com você - os milhões de nossos usuários. Se você gosta do Telegram o suficiente, você dirá a seus amigos sobre isso. E se todo usuário do Telegram convence 3 de seus amigos a deletar o WhatsApp e se mudar permanentemente para o Telegram, o Telegram já será mais popular que o WhatsApp. A idade da cobiça e da hipocrisia acabará. Uma era de liberdade e privacidade começará. Está muito mais perto do que parece.

Referências

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2019

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014

[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html – June 5, 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – September 25, 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012