Há cerca de um ano, falamos aqui sobre uma falha descoberta em alguns aplicativos de mensagens instantâneas — nomeadamente, WhatsApp e iMessage — que poderia potencialmente ser explorada por indivíduos (ou organizações) mal-intencionados ao acessar backups não-criptografados das suas conversas e ter acesso a todo o seu histórico de contatos, incluindo até mesmo mensagens apagadas.
Bom, agora, ao menos de um dos lados, esta falha está (provavelmente) corrigida. Digo isso porque o Facebook deu uma boa melhorada no backup das conversas do WhatsApp para o iCloud: agora, todo o conteúdo enviado para os servidores da Apple é criptografado na fonte, antes do upload, e só pode ser acessado com uma chave única gerada pelo próprio mensageiro.
Anteriormente, os backups do WhatsApp eram enviados sem nenhum tipo de proteção para o iCloud — a ideia é que a própria estrutura de segurança da Apple protegesse os dados dos usuários. Entretanto, como bem sabemos, o iCloud não apresenta criptografia de ponta-a-ponta no seu funcionamento; ou seja, um indivíduo com um mandado judicial — ou um malfeitor particularmente dedicado com algum esforço e acesso a informações-chave — poderia obter todo o seu histórico de conversas em um dos mensageiros mais populares do mundo. Agora, não mais.
O mais interessante é notar, entretanto, como esta história toda foi descoberta. A equipe do WhatsApp já tinha habilitado, silenciosamente, a criptografia para backups no iCloud em dezembro do ano passado, e ninguém havia percebido — até agora. Como é que esta informação veio à tona, então? Simples: uma empresa fornecedora de ferramentas para invasão de aparelhos móveis e sistemas de nuvem descobriu uma forma de burlar essa proteção!
A Oxygen Forensics, empresa que já prestou serviços ao FBI, declarou à Forbes que o método utilizado para burlar a criptografia do backup no iCloud só funciona em um cenário específico, no qual o invasor tem acesso a um cartão SIM com o mesmo número que a conta em questão do WhatsApp está registrada. Com ela, é possível gerar a chave para descriptografar os dados baixados anteriormente com ferramentas forenses.
Obviamente, trata-se de um cenário deveras específico — a maioria das pessoas tecnicamente não deveria se preocupar —, mas ainda assim o WhatsApp veio a público confirmar que passou a adotar a prática no fim do ano passado. Bom saber, não é mesmo?
[via TechCrunch]