O WhatsApp, uma duvidosa testemunha de acusação
Dois ‘hackers’ espanhóis conseguem falsificar remetentes no popular serviço de mensagens instantâneas.
Ver um hacker trabalhando não é a coisa mais emocionante do mundo. Sobre uma mesa, dois celulares e um laptop com uma tela negra cheia de códigos ininteligíveis para os não iniciados. Jaime Sánchez e Pablo San Emeterio, engenheiros de computação especializados em segurança cibernética, conseguiram quebrar o código do WhatsApp para modificar o remetente de uma mensagem, simulando que alguém enviou algumas linhas para o nosso celular. É um passe de mágica pequeno, mas muito poderoso. Uma falha em um serviço de troca de mensagens que tem 500 milhões de usuários, um tráfego diário de 10 bilhões de missivas e que acaba de ser comprado pelo Facebook por 19 bilhões de dólares (quase 42 bilhões de reais). Usando uma metáfora de um mundo que está desaparecendo, o que esses hackers do bem conseguiram seria comparável a infiltrar-se no sistema dos Correios para poder receber cartas falsas certificadas e atribuí-las a uma pessoa que não as escreveu.
Três remetentes, um mesmo celular
Os especialistas em segurança cibernética Jaime Sánchez e Pablo San Emeterio realizaram para o EL PAÍS um teste da falha que encontraram no serviço de troca de mensagens WhatsApp. Em uma situação normal, uma mensagem do celular A para o aparelho B passa pelo servidor do WhatsApp. Um sistema de quatro senhas a valida ao entrar e ao sair. O que Sánchez e San Emeterio fazem é se colocarem no meio. A mensagem passa pelos domínios do WhatsApp, mas antes de chegar ao telefone B, é interceptada. Os hackers então digitam em seu computador o nome e o número de telefone da pessoa que querem substituir. Quando a mensagem chega ao aparelho B, este não só não a rejeita, como também não consegue saber que o remetente foi modificado. E como o WhatsApp não armazena os dados em seus servidores, é impossível encontrar o remetente original. Em um minuto, os hackers mandaram três mensagens a partir do celular A, que chegam ao B como se tivessem sido enviadas por três números diferentes – o verdadeiro e os outros dois, que, por razões narrativas, foram batizados de "chefe" e "ex-namorada", para insinuar o tipo de ameaças falsas que alguém poderia alegar ter recebido.
“Nosso dia a dia é procurar vulnerabilidades que podem ser exploradas por criminosos para atingir a segurança de indivíduos e de empresas”, diz a dupla, que há cerca de dois anos tem trabalhado nas falhas do WhatsApp. Nesse período, os dois profissionais descobriram como espionar conversas, decifraram senhas e códigos pessoais, fabricaram mensagens malignas que conseguem fazer um celular parar de funcionar... Todos esses problemas, tornados públicos em diferentes revistas e sites especializados internacionais, foram consertados pela empresa com uma certa rapidez.
Mas ela ainda não conseguiu solucionar a mais recente descoberta dos engenheiros. “Modificar o remetente de uma mensagem é algo que pode trazer todo tipo de implicações, tanto cotidianas como legais, em situações como divórcios, extorsões...”, explicam os especialistas. “Por exemplo, uma pessoa poderia fazer uma denúncia por ameaças oferecendo como provas mensagens falsas de alguém cujo telefone ela nem teve acesso físico”. Basta saber o número. O telefone hackeado é o receptor da mensagem, que mostra ter recebido mensagens de números que nunca enviaram nada.
O portal de downloads Softonic.com (que tem 125 milhões de usuários únicos por mês) publicou o trabalho de Sánchez e San Emeterio em março e conseguiu até arrancar uma reação do discreto Jan Koum, fundador do WhatsApp. Na época, Koum respondeu que os dois espanhóis não tinham comprometido a segurança de seus servidores, já que a mensagem se modificava ao chegar ao aparelho receptor. Um porta-voz da empresa disse ao EL PAÍS que “a segurança é prioridade para o WhatsApp”.
Trata-se, em todo caso, de uma falha de difícil acesso para o usuário comum. “Não é algo que aquele amigo que entende um pouco de informática possa fazer”, dizia a notícia do site Softonic. “Mas coloca em dúvida a segurança do WhatsApp e, ao mesmo tempo, descarta o serviço como um meio válido para provar algo a nível legal”.
Basta procurar no Google pelos termos “WhatsApp” e “sentença” para aproximar-se do buraco. Em julho de 2011, o Tribunal Distrital de Las Palmas ratificou uma sentença por injúria parcialmente baseada em uma conversa no WhatsApp entre a acusada e o namorado da mulher que prestou queixa. Em março de 2013, quatro jovens de Vigo foram condenadas a pagar multas de 100 e 200 euros (de 300 e 600 reais) por ameaçar outra após acrescentá-la em um grupo do WhatsApp. Em novembro de 2013, um homem foi condenado por um tribunal de Ferrol a um ano e nove meses de prisão por mandar 2.147 mensagens de WhatsApp (e realizar 53 chamadas não atendidas) a sua ex-companheira. Em fevereiro de 2014, o Supremo Tribunal admitiu como prova em caso de tráfico de cocaína as conversas por WhatsApp entre os acusados. Em junho de 2014, uma corte de Pontevedra indiciou um homem que difundiu por WhatsApp as batidas rodoviárias da Guarda Civil. Em 2 de julho, um juiz examinou as transcrições dos diálogos no WhatsApp entre um professor acusado de abusos e suas alunas...
“O crescente uso do WhatsApp como prova em julgamentos é fato consumado”, diz Carlos Aldama, engenheiro de computação que trabalha como perito informático judicial. Há um ano, ele verificava uma prova de WhatsApp por mês. Agora são seis ao mês, em casos de todo tipo: infidelidades, divórcios, custódias, disputas de negócios, relações homossexuais... “Cerca de uma em cada 20 provas é falsificada”, afirma Aldama. Já foi encontrado de tudo: reproduções de tela com uma conversa grosseiramente retocadas, manipulações simples da geolocalização de um envio ou ainda imitações mais complexas executadas com cavalos de Troia (softwares maliciosos que infectam equipamentos). “Tudo isso é mostrado ao tabelião, e, claro, o notário dá fé do que vê, mas não sabe se aquilo foi ou não manipulado”, diz o perito. Ele afirma ainda que, nos mercados da Deep Web (uma camada profunda e livre da internet de difícil acesso, na qual ocorre tráfico de armas, drogas ou pornografia) é possível contratar pessoas capazes de falsificar mensagens de WhatsApp por cerca de 50 dólares (110 reais).
Nesse emaranhado de mentiras digitais, a falsificação do remetente reivindicada por Sánchez e San Emeterio pede cautela. “Para detectá-la o perito precisaria ter acesso aos dois terminais envolvidos na conversa, ao relatório de transferência de dados ou ao roteador ao qual um deles se conectou”, explica o perito judicial. “Se forem impugnadas pela outra parte, um perito não poderia admitir as mensagens como prova irrefutável. Mesmo assim, o que esses dois espanhóis detectaram é uma falha de segurança”. Segundo Aldama, se a Justiça quer oferecer garantias de defesa, terá que contar cada vez mais com engenheiros de computação.
“Cerca de uma em cada 20 provas eletrônicas é falsificada”, diz Carlos Aldama, engenheiro de computação que trabalha como perito em Informática Judicial
“A Justiça não está preparada. Não existe hoje em dia a figura de um Juiz 2.0”, diz Federico Bueno de Mata, professor de Direito Processual da Universidade de Salamanca, premiado por uma tese sobre provas eletrônicas. A grande armadilha é que as provas são regidas pela Lei de Acusação Civil de 2000 (e WhatsApp só foi fundado em 2009). “A tecnologia evolui em um ritmo completamente diferente do sistema judicial, o que nos deixa diante de uma Justiça tecnologicamente obsoleta a nível de provas”, afirma o advogado. Para ele, o principal problema é que “a validação de uma prova eletrônica por parte do juiz é totalmente condicionada ao que diz o perito informático”. No final, quem decide é o técnico. Segundo Bueno de Mata, para fazer uma “crítica positiva” aos magistrados, o judiciário deveria incorporar conhecimentos tecnológicos, além de incentivar cursos de reciclagem para que os juízes se atualizem.
Advogados, peritos e especialistas em segurança cibernética concordam que as empresas de trocas de mensagens também têm parte na responsabilidade. “Algumas observam a segurança mais como um investimento do que como um custo, algo que atrasa o tempo de desenvolvimento de um produto em um mercado que se mexe muito rapidamente”, dizem Sánchez e San Emeterio. “Na maioria das vezes, elas vão a reboque dos hackers, consertando os erros à medida em que são expostos”. Buracos na segurança que se tornam públicos mundialmente em questão de minutos. “O primeiro que falsifica um serviço como o WhatsApp tem o mérito”, opina Carlos Aldama. “Mas uma vez que se publique a informação de como conseguiram, passo a passo, qualquer pessoa com conhecimentos médios pode repeti-lo. Por isso, as empresas deveriam tomar medidas imediatas”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.