A empresa de segurança Check Point informou que o WhatsApp ainda não corrigiu a falha que permite "colocar palavras na boca" de participantes de uma conversa, adulterando mensagens.

O problema foi descoberto há 1 ano, mas o Facebook, que é dono do aplicativo, não o considera uma vulnerabilidade e entende que consertar o problema deixaria o WhatsApp "menos privado".

1 de 3 Parte 'citada' de mensagens WhatsApp aparece em um retângulo diferente e pode ser editada mesmo quando a citação pertence a outra pessoa. — Foto: Reprodução Parte 'citada' de mensagens WhatsApp aparece em um retângulo diferente e pode ser editada mesmo quando a citação pertence a outra pessoa. — Foto: Reprodução

A falha foi percebida quando, em agosto do ano passado, a Check Point conseguiu manipular o tráfego por meio da função "WhatsApp Web", que permite o uso do app no computador.

Com esse acesso, a empresa descobriu que as mensagens de resposta do WhatsApp — que citam uma mensagem anterior — podem ser enviadas sem que autenticidade da parte citada seja verificada.

Na prática, é possível enviar uma mensagem com um trecho de citação com qualquer conteúdo desejado, dando a entender que alguém teria mandado uma mensagem com aquele conteúdo quando isso não necessariamente ocorreu.

"Nós cautelosamente revisamos essa questão há um ano e é falso sugerir que há vulnerabilidade com a segurança que provemos ao WhatsApp", afirmou o Facebook, em nota.

"O cenário descrito aqui é meramente o equivalente móvel de alterar respostas em uma corrente de e-mail para fazer parecer algo que a pessoa não escreveu", completou a empresa.

"Precisamos estar cientes de que atender a essas preocupações levantadas por esses pesquisadores poderia tornar o WhatsApp menos privado — como armazenar informação sobre a origem das mensagens", disse a dona do aplicativo.

Entenda os problemas

A Check Point revelou três possibilidades de manipulação de mensagens no WhatsApp:

Em grupos, a função "Responder" (citação) permite a adulteração do texto citado e do nome do remetente, dando a entender que uma pessoa disse algo que não foi dito. É possível inclusive colocar "palavras na boca" de alguém que não faz parte do grupo; Adulterar o remetente de uma mensagem em conversas particulares, dando a entender que a mensagem foi enviada por outra pessoa. Essa falha permite simular conversas inteiras no WhatsApp, o que poderia ser usado como prova falsa para mostrar que alguém disse algo que jamais foi dito; Envio de mensagens particulares atreladas a grupos. A vítima receberia a mensagem em uma janela particular, mas, ao responder, a mensagem seria enviada ao grupo.

Desses três cenários, o Facebook corrigiu apenas o terceiro. Os outros dois continuam sendo possíveis.

Criptografia e autenticidade

O WhatsApp utiliza criptografia de ponta a ponta. Nesse modelo, todas as mensagens são embaralhadas até o destinatário, que usa uma chave matemática para decifrá-las e ver o conteúdo.

Esse modelo impede o Facebook de analisar a mensagem quando ela passa por seus servidores. O Facebook não pode, por exemplo, bloquear mensagens com links maliciosos ou com conteúdo falso, porque o serviço não enxerga os links e conteúdos na mensagem.

Isso também vale para o recurso de "citação": como o Facebook não tem as mensagens anteriores armazenadas, ele não consegue checar o conteúdo.

A verificação até pode ser realizada no próprio aplicativo do destinatário, comparando a citação com a mensagem registrada anteriormente, mas isso exige que a mensagem anterior esteja disponível. Quem acabou de entrar em um grupo ou excluiu as mensagens antigas, por exemplo, não terá mais a mensagem original na memória do telefone para permitir que o WhatsApp faça essa comparação.

Quando o WhatsApp não consegue encontrar a mensagem original, ele aceita a mensagem exatamente da forma que foi recebida.

2 de 3 Conversa em captura de tela foi inteiramente produzida com mensagens forjadas. Todas as mensagens nessa conversa foram produzidas pelo remetente, mas, na janela do remetente, o WhatsApp exibe como uma conversa entre as duas pessoas — Foto: CheckPoint Conversa em captura de tela foi inteiramente produzida com mensagens forjadas. Todas as mensagens nessa conversa foram produzidas pelo remetente, mas, na janela do remetente, o WhatsApp exibe como uma conversa entre as duas pessoas — Foto: CheckPoint

Risco para 'prints'

Os truques demonstrados pela Check Point abrem caminho para a criação de conversas totalmente fantasiosas, que nunca aconteceram. Como o Facebook não anunciou providências, quem usa o WhatsApp precisa entender essas limitações do aplicativo. Isso nem sempre é óbvio, já que o aplicativo em si não permite modificar um texto citado — mas isso é apenas um bloqueio na tela do aplicativo, e não da tecnologia.

A possibilidade de existirem citações adulteradas e mensagens atribuídas a pessoas que nem participaram de uma conversa deve ser lembrada antes de acreditar na veracidade de uma captura de tela ("print") ou até na perícia do banco de dados do WhatsApp no telefone.

O foco do Facebook em criptografia tende a aumentar as limitações dessa natureza nos serviços da empresa, que ficam impossibilitados de fazer a checagem do que é enviado pelos usuários.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com