Mobile

WhatsApp: Informação dos utilizadores cai em servidores externos

44 Comentários

O WhatsApp é claramente uma das plataformas de comunicação mais completas e também das mais populares. Em termos de segurança, o WhatsApp é, dentro do seu segmento, uma das que garante melhor confidencialidade dos dados uma vez que as comunicações são cifradas ponto a ponto.

Segundo um vídeo agora revelado, o WhatsApp passa informação dos utilizador para servidores externos.


Não foi há muito tempo que foi lançada mais uma versão do WhatsApp. No entanto, segundo um vídeo publicado recentemente pelo Youtuber Colin Hardy, o WhatsApp passa informação do utilizador para servidores externos, sendo que essa informação pode permitir, por exemplo, a localização do utilizador.

Como é que a informação é passada?

Uma das funcionalidades integradas no WhatsApp é o preview de links que são partilhados numa janela de chat. Quando o utilizador partilha um link, por exemplo de um site, o WhatsApp valida esse URL solicitando informações ao servidor (Exemplo: Se partilhar o endereço do site Pplware, o whatsApp vai validar se o site existe para fazer o preview). É então nesse momento que o endereço associado ao dispositivo, que tem o cliente de WhatsApp em execução, é passado para o lado do servidor. Com essa simples informação é possível saber, entre outras coisas, a localização de um determinado utilizador.

Para perceberem como tudo acontece, vale a pena ver o seguinte vídeo:

Ao contrário de outros serviços que usam servidores para fazer esse trabalho de validar um determinado URL de um site, o WhatsApp usa o próprio endereço do cliente para realizar o pedido. Esta não é certamente uma boa política, até porque, desta forma, passa a ser possível fazer o tracking do cliente.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
externos Servidores WhatsApp

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Nexus 6P e 5X não vão poder usar uma novidade do Android 8
Artigo anterior

Nexus 6P e 5X não vão poder usar uma novidade do Android 8
Drone RacerX bate recorde do Guiness alcançando os 262 km/h
Próximo artigo

Drone RacerX bate recorde do Guiness alcançando os 262 km/h
PUB

Comentários

44

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de josé lopes
    josé lopes

    Uso apenas o telegram e o skype….mas não sei se sofrem do mesmo problema…

    Responder
    1. Avatar de arkan
      arkan

      telegram ja abriu as pernas para russia, e outros paises tb 😐

      Responder
      1. Avatar de Spoky
        Spoky

        Provas? Eu tenho, https://telegram.org/blog/cryptocontest

        Até agora ninguém conseguiu, dos prémios que já foram oferecidos 100.000 a 300.000$

        Responder
    2. Avatar de Spoky
      Spoky

      O Skype não é encriptado! E sim sofre do mesmo problema, principalmente o Skype. Não sei como podes dizer uma coisa dessas, tens de ler mais e te informares mais acerca disto.

      O Skype não é seguro, pertence a Microsoft e não tem nenhuma encriptação nem privacidade, o teu IP é exposto e qualquer um pode ver nos Skype Resolvers.

      O Telegram, Signal são os melhores de momento para conversar com alguma privacidade, até agora são os únicos que oferecem uma tecnologia e uma encriptação adequada.

      Microsoft, Google esquecam os produtos deles, eles guardam logs e nem sei como em pleno 2017 ainda há quem acredite e não saiba isto! Enfim! Skype é a pior coisa que podes ter, a nível de privacidade.

      Até o Teamspeak é melhor que o Skype lol

      Responder
      1. Avatar de anonimo
        anonimo

        E o que diria sobre o qTox?

        Responder
        1. Avatar de Joao ptt
          Joao ptt

          O qTOX (segundo esta descrição: https://tox.chat/faq.html ) parece ser bastante bom em termos de cifrar as comunicações (não pode ser desligado) e tem o seu próprio sistema de identificador (não tem de partilhar e-mail, telefone, etc.)
          O seu IP é partilhado com os contactos na lista de autorizados, contudo não está disponível para os outros. Se quiser prevenir que os utilizadores na lista de autorizados possam ver o seu IP, tem de usar algo como o TOR ou alguma VPN.
          Dito isto, só falo na teoria, porque não experimentei para compreender se na prática recomendo ou não… quem quiser existem diversos clientes dependendo da plataforma: https://tox.chat/clients.html

          Responder
      2. Avatar de Sul
        Sul

        Spoky e o Wire, será recomendável? https://wire.com/
        Eles têm também chamadas de vídeo e de voz, pelo que dizem no site terá privacidade mas nada percebo acerca do assunto. Será seguro e privado?

        Responder
        1. Avatar de Joao ptt
          Joao ptt

          O Wire, pelo que li da documentação deles, parece ser bastante mais seguro / confidencial, desde que confirme a chave pública do outro utilizador. Não é a coisa mais intuitiva do mundo, mas consegue-se.
          O que me preocupa é o facto de ser gratuito, apesar de me parecer ter lido que tem planos para introduzir futuramente planos pagos deixando eventualmente um plano básico com funcionalidades reduzidas grátis (sabe-se lá por quanto tempo)… ou é o cliente ou é o produto, em algumas empresas parece ser as duas coisas.
          Para já o Wire, se cumprirem o que escreveram parece ser uma boa plataforma para conversar e trocar mensagens.

          Responder
  2. Avatar de RUI
    RUI

    É desta que deixo de usar o Whatsapp. Gosto do telegram, é pena os meus contatos nao o utilizarem muito.

    Responder
    1. Avatar de Spoky
      Spoky

      É desta? Mas é preciso vir isto a publico para ser desta? Quem procura privacidade, segurança já devia imaginar que o Whatsapp não é a aplicação correta.

      Só ficaste com o Whatsapp porque quiseste, até parece que isto já não acontece a vários meses, isto e muito mais! (Não tens é como saber!)

      Signal é outra alternativa ao telegram

      Responder
    2. Avatar de Joao ptt
      Joao ptt

      O único com segurança mais a sério em termos de confidencialidade e privacidade é o Threema (não precisam de e-mail, nem número de telefone… podem colocar mas é opcional para ajudar a encontrar o vosso nome de utilizador que é independente do e-mail/telefone), mas não faz chamadas, só dá para enviar mensagens de voz… o que é muito limitador… de resto é mais orientado para o segmento de utilizadores que gosta de trocar mensagens, imagens, vídeos e outros documentos de forma segura.
      Tem, por enquanto, um custo único de aquisição nas lojas dos sistemas operativos e supostamente eles tentam ter dinheiro a entrar a todo o momento através da disponibilização de interfaces externos (API’s) para o interior da rede, ou seja: tentam que as empresas e particulares paguem um determinado valor por mensagem enviada de fora da rede (exemplo: recuperação de senha de web sites, confirmação de operações online, etc.).

      Existe também o Wire, que dá para fazer chamadas, trocar mensagens, que eventualmente será a pagar todos os meses, mas para já é gratuito, e talvez venham a ter um plano gratuito com funcionalidades reduzidas quando introduzirem os pagamentos. Mas eles exigem ter no mínimo o e-mail, e tentam por todos os meios obter o número de telefone, pelo que a privacidade é no mínimo algo questionável… mas a confidencialidade das chamadas e mensagens parece ser boa, já que a encriptação e autenticação parece ser boa.

      Responder
  3. Avatar de Carlos Silva
    Carlos Silva

    Mau…… Então mas se as msgs são supostamente encriptadas ponto-a-ponto, como kerem que a WhatsApp saiba que partilharam um link? Obviamente que tem de ser o cliente (qq um deles, a fazer isso)

    Responder
    1. Avatar de K
      K

      Esse é o contraponto que torna esta notícia sensacionalista. E foi demonstrado algures que os outros fazem o mesmo. Basta acrescentar uma opção (se é que não existe) que desactiva a pré-visualizacao do link e está a questão arrumada.

      Responder
      1. Avatar de Vítor M.
        Vítor M.

        O Carlos não deve ter lido o artigo completo, se não não dizia o que disse, que não é exatamente a realidade. E por isso enganou-o caro K. Leia, não vá se deixe enganar, vejo o que lá está. Apenas isso, leia o que está escrito no artigo que nada tem de sensacionalista. Tem apenas factos, onde está o sensacionalismo nisso?

        “Ao contrário de outros serviços que usam servidores para fazer esse trabalho de validar um determinado URL de um site, o WhatsApp usa o próprio endereço do cliente para realizar o pedido. Esta não é certamente uma boa política, até porque, desta forma, passa a ser possível fazer o tracking do cliente.”

        Depois o “basta acrescentar a opção….” é muito vago, estamos a falar no que está agora, no presente sem qualquer subjectividade do “basta acrescentar”. Pode ser isso, sem lhe tirar qualquer razão ou mérito na injeção de solução, mas estamos a referir o que se passa. Veja o vídeo.

        Cump.

        Responder
        1. Avatar de Andre F
          Andre F

          Vítor, do ponto de vista técnico, o Carlos está cheio de razão.

          Se as mensagens são encriptadas, não é possível verificar os links por um servidor externo.

          Preocupar-me-ia mais que os links fossem verificados por um servidor externo. Isso seria sinal de algo muito errado com a encriptação usada.

          Responder
          1. Avatar de Vítor M.
            Vítor M.

            André não, vê o vídeo. Depois percebes oq ue foi referido.

    2. Avatar de fartote
      fartote

      se vires no vídeo acima, no exemplo do twitter, não é usado o endereço do cliente, mas um endereço associado ao twitter. pessoalmente acho que a pré-visualização de links deveria ser opcional, deveria ser possível escolher o que eu quero que saia da conversa ou não; não sendo, o mínimo é que o whatsapp use o seu serviço (e um endereço seu) para fazer pedidos e pré-visualizar os links

      Responder
  4. Avatar de rui
    rui

    isto porque a malta partilha links que não viu, ou seja não tinha ainda acedido ao site em questão… supostamente acabaram de o abrir pelo dispositivo ou então partilham em manada também não se importam com o acesso.
    A questão aqui era poder eventualmente haver uma filtragem de links maliciosos ou phishing com base na reputação e histórico do url se esse acesso fosse feito pelos servidores do whatsapp

    Responder
  5. Avatar de Lisbon lover
    Lisbon lover

    Já nem uso o WhatsApp há muito tempo, mas ainda mantenho instalada a aplicação no caso de surgirem mensagens novas. Se estes problemas se agravarem meto um ponto final nisto.

    Responder
    1. Avatar de Spoky
      Spoky

      «Se estes problemas se agravarem meto um ponto final nisto.»

      Aiii, o que me fazem rir!!! Até parece que o Whatsapp tem privacidade, não pensei que ainda havia tanta gente que acreditasse nisto! lool pelos vistos.

      Responder
      1. Avatar de Joao ptt
        Joao ptt

        Durante anos nem cifravam as conversas, e ninguém parecia muito incomodado.
        Mesmo agora tem de se activar as notificações para saber se alguém mudar a sua chave privada que garante que veio daquela pessoa… logo a maior parte não utiliza essa funcionalidade e nem sequer é notificada da possibilidade de estar a ser interceptada… e mesmo que avisassem as pessoas iam fazer o que fazem sempre “ignorar” e seguir em frente. Se o sistema permitir que a pessoa falhe, a pessoa irá falhar, se não todas, a maior parte.

        Responder
  6. Avatar de JF
    JF

    Existe um aplicativo chamado Telegram, que mete o Whatsapp no bolso; mas o cómico no meio disto tudo, é o facto de os portugueses só começarem a usar o Whatsapp para comunicação agora, quando antes diziam mal do aplicativo, e que não tinha qualquer utilidade, olhando para o mesmo com desconfiança.

    É incrível como é que passando tanto tempo de este aplicativo já sere conhecido e utilizado lá fora, os portugueses, somente agora ficaram curiosos para o utilizar; foi preciso dar na novela e nos programas da manhã ou da noite para que esta parolada clerical usasse o aplicativo.

    No meio disto tudo, e com o Telegram a destruir a pouco e pouco o Whatsapp, esta gente diz que tem que utilizar o último porque todos os outros também têm, é aquilo a que se chama carneirada que nada questiona e tudo segue atrás do rebanho.

    Responder
    1. Avatar de Spoky
      Spoky

      O Signal é uma boa alternativa ao Telegram também, ambos são bons! Menos o Whatsapp, Snapchat.

      Responder
      1. Avatar de anonimo
        anonimo

        Diria que o Signal e o Telegram são superiores ao qTox?

        Responder
    2. Avatar de Joana
      Joana

      Há mais portugueses além dos que conhece e muitos deles já usavam Whatsapp desde que o mesmo foi lançado, sem nenhuma desconfiança. Recomendo-vos para antes de dizerem algo que lhes vier à cabeça se informem, porque é disso que precisam.

      Responder
    3. Avatar de Sujeito
      Sujeito

      Tu queres dizer aplicação ou programa. Não são aplicativos.

      Responder
  7. Avatar de Rui
    Rui

    Quem me dera que os meus contactos comecassem a usar telegram… Desinstalava logo o whatsapp

    Responder
    1. Avatar de Pedro Santos
      Pedro Santos

      Ou usar o BBM. Deixava de usar o WhatsApp.

      Responder
  8. Avatar de AlCiD
    AlCiD

    O mais ridículo ainda é que o WhatsApp passa todos os contactos para a “mãe” FaceBook – sejam clientes do WhatsApp ou não… por isso ficam com informação de quem se conhece.

    Responder
  9. Avatar de Tus
    Tus

    Quem sabe uma solução open source e livre ao skype e whatsapp —> https://wire.com/en/

    Responder
    1. Avatar de Tus
      Tus

      E tem versões, desktop e móveis, para android, windows, linux e mac.

      Responder
    2. Avatar de anonimo
      anonimo

      Qual dos dois terá mais privacidade: o wire ou o qTox?

      Responder
      1. Avatar de Joao ptt
        Joao ptt

        Sem dúvida o qTox.
        Não precisa de partilhar dados pessoais nenhuns com o serviço (nem e-mail, nem telefone) e o identificador de utilizador é próprio da rede.
        O seu endereço de IP só é partilhado com os utilizadores na sua lista, já que o conceito é cifragem de ponto-a-ponto… mas pode utilizar o TOR ou uma VPN se quiser proteger-se nesse aspecto, no Wire não sei, eles não dizem se é de ponto-a-ponto ou se passa pelos servidores deles. No Wire eles tentam obter o e-mail e o telefone, e no mínimo querem o e-mail.

        Responder
        1. Avatar de Tus
          Tus

          Dizem sim, está escrito em letras garrafais (abaixo da palavra “Secure”) “Full end-to-end encryption”. Salvo se o usuário guardar segredos de Estado, for fugitivo da justiça, de algum país ou órgão internacional, ou não souber sequer criar uma conta fictícia de email, não pedir email não tem muita relevância. Na verdade, utilizar uma conta de email permite sincronizar mais facilmente seus aplicativos wire em diversos dispositivos. Também não adianta usar um aplicativo very-ultra-mega-infinity-power protetor da privacidade se ninguém mais usar; será só vc e o dispositivo, tipo o Tom Hanks e o Wilson no filme Náufrago.

          Responder
          1. Avatar de Tus
            Tus

            *abaixo da palavra secure no site: https://wire.com/en/

      2. Avatar de Tus
        Tus

        Não acho q seja uma questão de quem “terá mais” privacidade, mas sim “quem garantirá” a privacidade dos usuários. Sendo os dois open source, é pouco provável q haja violação nesse sentido, a princípio.

        Responder
        1. Avatar de Tus
          Tus

          Competição de fãs, à parte, eu apostaria no Wire, não pq não goste do qTox, mas pq o Wire facilita a transição p quem vem do Whatsapp/Telegram por ser bem intuitivo (tanto para instalar quanto para usar) e ter um excelente visual. Isso é muito importante já q o fator determinante p qq aplicativo desse tipo é o número de usuários. Ah sim, o Wire tb tem uma versão Web q pode ser utilizada em qq navegador (chrome, firefox, …).

          Responder
        2. Avatar de Tus
          Tus

          E também o protocolo de criptografia do wire (proteus) é baseado no código do aplicativo Signal q, por sinal, é bem seguro.

          Responder
  10. Avatar de ervilhoid
    ervilhoid

    o Wickr usado na série Mr. Robot? alternativa válida?

    Responder
    1. Avatar de Joao ptt
      Joao ptt

      O Wickr é um caso estranho, eles falam de cifragem sob cifragem, sob cifragem, mas a parte de autenticação népias… aquilo supostamente dá para autenticar mas você consegue que aquilo autentique sem sequer perceber como o fez (parece fazê-lo “mágicamente”/ automaticamente), e depois não tem como confirmar que está a falar com a pessoa autenticada correcta… pelo menos quando o testei o ano passado.
      Também divulgam muitos dados a qualquer um que supostamente seja da policia: https://www.wickr.com/legal-process-guidelines embora digam que as mensagens em si não. Diria que o Mr. Robot não deveria utilizar o Wicker mas si outro como o qTOX se precisassem de falar, se não até o Threema parece bom para mensagens e trocar mensagens de voz, e pelo menos visualmente é muito apelativo.

      Responder
  11. Avatar de Deep Web Surface
    Deep Web Surface

    Whatsapp o pior apps já criado.

    Responder
  12. Avatar de sakura
    sakura

    Sim, é uma falha, mas se em vez do Whatsapp for o browser o site provavelmente fica com a mesma info.
    mas claro o Whatsapp supostamente devia ser “”Privado””…..e não deve ser só isso que é recolhido!!

    Responder
  13. Avatar de João
    João

    Nada é privado ao utilizador que troca informações da web de forma gratuita. A empresa que oferece o serviço tem acesso a tudo. A forma como trata os dados é que pode ser ético ou não.

    Responder
  14. Avatar de Andre F
    Andre F

    Vitor, não tendo opção de responder ao teu comentário, segue a resposta aqui em baixo…

    Proponho um simples teste. Vai a web.whatsapp.com e faz login. Agora, ignora a mensagem que diz especificamente para manter o telefone com conectividade à internet… e ativa o modo avião no mesmo.
    Tenta enviar uma mensagem a alguém. A mensagem é enviada? Não.

    Porquê? O WhatsApp Web não é mais que uma interface. Esta interface não se liga aos servidores do WhatsApp, mas sim ao teu telefone. No fundo, o que escreves no WhatsApp Web não é enviado imediatamente à pessoa, mas sim, sincronizado com o teu telefone, que encripta a mensagem e a envia ao destinatário.

    Não quero com isto dizer que a comunicação entre o WhatsApp Web e o telefone não é encriptada. Porque é.

    Assim sendo, rapidamente se conclui que o dispositivo que envia a mensagem é o telefone e não o PC. Portanto, ao escrever um link, é o telefone que vai gerar o preview do site, e cujo IP ficará logado. Se poderia ser o PC onde executas o WhatsApp? Poderia, mas o resultado seria o mesmo!

    Se poderia ser um servidor do WhatsApp a fazê-lo? Não, porque existe encriptação entre o WhatsApp e o Telefone, e entre o Telefone do remetente e o do destinatário.

    PS: Num âmbito mais geral, não é correto dizer que o Signal ou o Wire são mais seguros WhatsApp… O protocolo usado é exatamente o mesmo 😉

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.