Por que o WhatsApp nunca será seguro
Texto escrito por Pavel Durov, publicado originalmente no canal @Durov.
É possível ouvir o texto abaixo, narrado pelo nosso estimado amigo e host Samej Spenser, no episódio DTC Extra 001 do podcast @DicasTelecast, no link abaixo!
“O mundo parece estar chocado com a notícia de que o WhatsApp transformou qualquer telefone em spyware. Tudo no seu telefone, incluindo fotos, e-mails e textos, era acessível por invasores apenas porque você tinha o WhatsApp instalado [1].
No entanto esta notícia não me surpreendeu. No ano passado, o WhatsApp teve que admitir que tinha um problema muito parecido — uma única chamada de vídeo via WhatsApp era necessária para que um hacker obtivesse acesso a todos os dados do seu telefone [2].
Toda vez que o WhatsApp precisa consertar alguma vulnerabilidade crítica em seu aplicativo, uma nova parece aparecer em seu lugar. Todos os seus problemas de segurança são convenientemente adequados para vigilância, se parecem e funcionam de forma muito semelhante à backdoors.
Ao contrário do Telegram, o WhatsApp não possui seu código fonte aberto, portanto não há como especialistas e pesquisadores em segurança digital verificarem facilmente se existem backdoors em seu código. Não apenas o WhatsApp não publica seu código fonte, como eles fazem exatamente o oposto: o WhatsApp ofusca deliberadamente os binários de seus aplicativos para garantir que ninguém possa estudá-los completamente.
O WhatsApp e sua empresa-mãe, o Facebook, podem até mesmo ser obrigados a implementar backdoors — por meio de processos secretos, como as ordens de mordaça do FBI [3]. Não é fácil executar um aplicativo de comunicação seguro nos EUA. Uma semana após nossa equipe se instalar nos EUA, em 2016, sofremos 3 tentativas de infiltração pelo FBI [4] [5]. Imagine o que 10 anos nesse ambiente podem trazer para uma empresa norte-americana.
Eu entendo que as agências de segurança justificam a implantação de backdoors com seus esforços anti-terror. O problema é que esses backdoors também podem ser usados por criminosos e governos autoritários. Não é de admirar que os ditadores parecem amar o WhatsApp. Sua falta de segurança permite que eles espionem seu próprio povo, então o WhatsApp continua disponível gratuitamente em lugares como a Rússia ou o Irã, lugares onde o Telegram é proibido pelas autoridades [6].
Na verdade, comecei a trabalhar no Telegram como uma resposta direta à pressão pessoal exercida pelas autoridades russas. Naquela época, em 2012, o WhatsApp ainda estava transferindo mensagens em texto puro. Isso foi insano. Não apenas governos ou hackers, mas provedores móveis e administradores de redes Wi-Fi tinham acesso a todos os textos do WhatsApp [7] [8].
Mais tarde, o WhatsApp adicionou alguma criptografia, que rapidamente se tornou um truque de marketing: a chave para descriptografar mensagens estava disponível para pelo menos alguns governos, incluindo os russos [9]. Então, quando o Telegram começou a ganhar popularidade, os fundadores do WhatsApp venderam sua empresa para o Facebook e declararam que “a privacidade estava em seu DNA” [10]. Se for verdade, deveria ser um gene dormente ou recessivo.
Há 3 anos, o WhatsApp anunciou que implementou criptografia de ponta-a-ponta para que “nenhum terceiro pudesse acessar as mensagens”. Isso coincidiu com um esforço agressivo para que todos os usuários fizessem backup de seus bate-papos na nuvem. Ao fazer esse esforço, o WhatsApp não informava aos usuários que, quando submetidos ao backup, as mensagens não eram mais protegidas por criptografia de ponta-a-ponta e poderiam ser acessadas por hackers e pela pressão da lei. Marketing brilhante que, como resultado, rendeu a algumas pessoas ingênuas uma pena na prisão [11].
Aqueles resilientes o suficiente para não cair em popups constantes dizendo-lhes para fazer backup de seus bate-papos ainda puderam ser rastreados por vários truques — desde o acesso aos backups de seus contatos até as alterações invisíveis de chaves de criptografia [12]. Os metadados gerados pelos usuários do WhatsApp — registros descrevendo quem conversa com quem e quando — vazam para todos os tipos de agências em grandes volumes por sua empresa-mãe do WhatsApp [13]. Além disso, você tem uma mistura de vulnerabilidades críticas sequenciais.
O WhatsApp tem um histórico consistente — desde a criptografia zero no início até uma sucessão de problemas de segurança estranhamente adequados para fins de vigilância. Olhando para trás, não houve um único dia na jornada de 10 anos do WhatsApp, que este serviço fosse seguro. É por isso que não acho que apenas atualizar o aplicativo do WhatsApp para dispositivos móveis o torne seguro para alguém. Para o WhatsApp se tornar um serviço voltado à privacidade, ele tem que arriscar perder mercados inteiros e entrar em conflito com as autoridades de seu país de origem. E eles não parecem estar prontos para isso [14].
No ano passado, os fundadores do WhatsApp deixaram a empresa devido a preocupações com a privacidade de seus usuários [15]. Eles são, definitivamente, amarrados por ordens de mordaça ou NDAs. Dessa forma, são incapazes de discutir backdoors publicamente sem arriscar perder suas fortunas e liberdade. Eles foram capazes de admitir, no entanto, que “eles venderam a privacidade de seus usuários” [16].
Eu posso entender a relutância dos fundadores do WhatsApp em fornecer mais detalhes — não é fácil colocar seu conforto em risco. Vários anos atrás eu tive que deixar meu país após me recusar a cumprir violações da privacidade dos usuários do VK sancionadas pelo governo [17]. Não foi agradável. Mas eu faria algo assim novamente? Com prazer. Cada um de nós vai morrer, eventualmente, mas nós, como espécie, vamos permanecer por algum tempo. E é por isso que eu acho que acumular dinheiro, fama ou poder é irrelevante. Servir a humanidade é a única coisa que realmente importa a longo prazo.
E, no entanto, apesar de nossas intenções, sinto que deixamos a humanidade triste em toda essa história de spyware do WhatsApp. Muitas pessoas não conseguem parar de usar o WhatsApp porque seus amigos e familiares ainda estão nele. Isso significa que nós, do Telegram, fizemos um trabalho ruim ao tentar persuadirmos as pessoas a mudar. Embora tenhamos atraído centenas de milhões de usuários nos últimos cinco anos, isso não foi suficiente. A maioria dos internautas ainda é mantida refém pelo império Facebook/WhatsApp/Instagram. Muitos dos que usam o Telegram também estão no WhatsApp, o que significa que seus telefones ainda estão vulneráveis. Mesmo aqueles que abandonaram completamente o WhatsApp provavelmente estão usando o Facebook ou o Instagram, e ambos acreditam que não há qualquer problema em armazenar suas senhas em texto simples [18] [19] (eu ainda não consigo acreditar que uma empresa de tecnologia pode fazer algo assim e se safar disto).
Em quase seis anos de existência, o Telegram não apresentou nenhum vazamento de dados ou falha de segurança do tipo que o WhatsApp demonstra a cada poucos meses. Nos mesmos 6 anos, divulgamos exatamente zero bytes de dados para terceiros, enquanto o Facebook/WhatsApp vem compartilhando praticamente tudo com todos que afirmaram que trabalham para um governo [13].
Poucas pessoas de fora da comunidade de fãs do Telegram percebem que a maioria dos novos recursos em mensagens aparece no Telegram primeiro, sendo então copiados pelo WhatsApp nos mínimos detalhes. Mais recentemente, estamos testemunhando a tentativa do Facebook de pegar emprestada toda a filosofia do Telegram, com Zuckerberg declarando de repente a importância da privacidade e da velocidade, praticamente citando a descrição do aplicativo do Telegram, palavra por palavra, em seu discurso do F8.
Mas lamentar a hipocrisia do Facebook e a falta de criatividade não ajudará. Temos que admitir que o Facebook está executando uma estratégia eficiente. Veja o que eles fizeram com o Snapchat [20].
Nós, do Telegram, temos que reconhecer nossa responsabilidade em formar o futuro. Somos nós ou o monopólio do Facebook. É liberdade e privacidade ou ganância e hipocrisia. Nossa equipe tem competido com o Facebook nos últimos 13 anos. Nós já os vencemos uma vez, no mercado de redes sociais da Europa Oriental [21]. Nós vamos vencê-los novamente no mercado global de mensagens. Nós precisamos.
Não será fácil. O departamento de marketing do Facebook é enorme. Nós, no entanto, fazemos zero marketing. Não queremos pagar jornalistas e pesquisadores para contar ao mundo sobre o Telegram. Para isso, contamos com vocês — os nosso milhões de usuários. Se você gosta do Telegram o suficiente, você dirá aos seus amigos sobre isso. E se todo usuário do Telegram convencer 3 de seus amigos a deletar o WhatsApp e se mudar permanentemente para o Telegram, nós nos tornaremos mais populares que o WhatsApp. A era da cobiça e da hipocrisia acabará. Uma era de liberdade e privacidade começará. E está muito mais perto do que parece.”
Referências
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones — 15 de maio de 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts — 12 de outubro de 2018
[3] Wikipedia Gag order — United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor — 19 de setembro de 2017
[5] The Baffler The Crypto-Keepers — 17 de setembro de 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? — 2 de maio de 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages — 19 de maio de 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages — 13 de maio de 2012
[9] FilePerms WhatsApp is broken, really broken — 12 de setembro de 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum — 18 de março de 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-fbi-access-whatsapp-messages.html — 5 de junho de 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages — 13 de janeiro de 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops — 22 de janeiro de 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China — 22 de novembro de 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy — 30 de abril de 2018
[16] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition — 25 de setembro de 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile — 2 de dezembro de 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext — 21 de março de 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text — 18 de abril de 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved — 14 de novembro de 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates — 26 de outubro de 2012
O texto original pode ser lido aqui.
Tradução: Equipe @DicasTelegram.
