Mobile

Fim das escutas no WhatsApp! Instale já a última versão

48 Comentários

Com mais de mil milhões de utilizadores, o WhatsApp é o serviço de mensagens mais usado no mundo mas tem tido alguns problemas ao nível da privacidade das comunicações.

Hoje, através de um comunicado da whispersystems, ficou a saber-se que o WhatsApp passou a cifrar todas as comunicações entre utilizadores.

HAARLEM - Een mobiele telefoon met Whatsapp. ANP REMKO DE WAAL


A partir de hoje toda as comunicações entre utilizadores/dipositivos na rede WhatsApp passam a ser cifradas. Desta forma o serviço evita eventuais escutas das comunicações, garantido a privacidade dos utilizadores.

This means that if any group of people uses the latest version of WhatsApp—whether that group spans two people or ten—the service will encrypt all messages, phones calls, photos, and videos moving among them. And that’s true on any phone that runs the app, from iPhones to Android phones to Windows phones to old school Nokia flip phones.

De acordo com a  Open Whisper, todas as mensagens trocadas, independentemente da plataforma usada para acesso ao WhatsApp, passam a ser codificadas pelo emissor e apenas podem ser decifradas pelo receptor (nem mesmo o próprio serviço consegue decifrar as mensagens uma vez que a segurança da informação é aplicada ponto a ponto).

WhatsApp_02

Para que possa usufruir deste nível de segurança, deverá ter a última versão do WhatsApp instalada no seu sistema. O Whatsapp tem vindo a crescer de forma considerável, principalmente após ter sido comprada pela rede social Facebook. Conheça 6 dicas para começar a usar já o Whatsapp.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Mesenger WhatsApp

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Análise ao Huawei Honor 5X
Artigo anterior

Análise ao Huawei Honor 5X
Apple deve 48,5 milhões de euros aos operadores franceses
Próximo artigo

Apple deve 48,5 milhões de euros aos operadores franceses
PUB

Comentários

48

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Pinto Costa
    Pinto Costa

    o meu WhatsApp funciona na perfeição. esta medida é excelente! claro que só se tira 100% partido da aplicação caso se use iPhone

    Responder
  2. Avatar de Xinuo
    Xinuo

    O WhatsApp fica mais seguro assim? Contra terceiros (qualquer roteador, hub ou switch de rede que estiver entre o usuário e o servidor do WA) que podem “ver” as mensagens sendo trocadas, SIM, fica seguro. Contra a próprio WA, NUNCA.

    O app WA é “quem” manipula as chaves dos usuários, então o app pode a qualquer momento pegar a chave privada e mandar para os servidores do WA. Se o app WA não têm essa capacidade nesse momento, poderá ter a qualquer momento, bastando a WA modificar o aplicativo e mandar a atualização para as lojas de app.

    Conclusão: acreditando-se que o app WA não tenha backdoor e manipule as chaves de criptografia dos usuários de forma ética, as autoridades e o próprio WA ficam sem acesso as msgs trocadas pelos usuários, entretanto a WA pode alterar a qq tempo o app para funcionar para algum usuário específico (ou todos) de modo a burlar qq proteção sem que o usuário saiba. Ou seja, as autoridades (do país onde está a sede do WA) poderiam criar leis que obrigassem a WA a colocar “escutas” em determinados usuários, a pedido de algum juiz, além da própria WA poder fazê-lo por conta própria.

    Além disso existem os metadados, que a WA não têm como negar que possui e que não podem ser criptografados ponto-a-ponto. E a análise dos metadados já seria suficiente para alavancar muitas investigações.

    Responder
    1. Avatar de Bruno Fernandes
      Bruno Fernandes

      Comentaste sem testar.

      Para encriptar a mensagem entre os dois utilizadores é necessária acção presencial. Um telefone gera um código QR e o outro faz o scan desse código. Simples.

      Responder
      1. Avatar de Xinuo
        Xinuo

        Eu não preciso testar, o aplicativo WA gerencia as chaves para o utilizador, o app pode fazer o que quiser com elas, inclusive transferi-las para os servidores do WA.

        É tecnicamente possível o aplicativo fazer o que eu especulei, sim ou não?

        O dono do Facebook, o Sr. Mark Zuckerberg, foi processado por diversos dos ex-sócios dele, alguém confia no que ele diz?

        Responder
    2. Avatar de Tomás
      Tomás

      Não sei como é que o sistema da WA funciona, mas o que dizes seria à partida um mau mecanismo para implementar escutas, pois o envio das chaves à revelia acabaria mais cedo ou mais tarde por ser apanhado por quem se dedica a analisar a segurança deste género de aplicações.

      Responder
      1. Avatar de Xinuo
        Xinuo

        Eu apenas analisei as formas do aplicativo burlar quaisquer proteções que tenha prometido. Gostaria que você e o outro me dissesse que é tecnicamente impossível o WhatsApp burlar a própria proteção que prometeu.

        Quanto as pessoas que eventualmente venham analisar se o app WA está fazendo algo a mais ou não, como eles irão fazer isso se os dados são criptografados?

        Responder
        1. Avatar de Tomás
          Tomás

          estar a enviar chaves criptográficas deixa um trilho de comunicações para outros endereços que não os destinatários das mensagens, coisa que não seria muito complicada de observar, mesmo sem ver os conteúdos, ainda mais quando o sistema parece criar uma chave diferente para cada mensagem individual. As provas iriam acumular-se e eventualmente alguém iria descobrir uma forma de ver o que é enviado pois teriam acesso ao hardware e ao software nos aparelhos dos dois lados… Para além disso o envio de chaves por si só não é garantia de grande coisa pois também é necessário interceptar as mensagens.
          É por isso que a preocupação com estes sistemas é antes a possibilidade dum “man in the middle”, em que o servidor da WA enganaria na negociação inicial entre utilizadores, e passaria a ser um nódulo de comunicação, recebendo a mensagem com a sua própria chave… Para ter confiança que isso não se está a passar o aconselhado é que esses utilizadores tenham uma outra via para verificar chaves

          Responder
          1. Avatar de Xinuo
            Xinuo

            Amigo, SEMPRE as mensagens passam pelos servidores da empresa WhatsApp.

            Não é necessário que a aplicativo WhatsApp mande mensagem para endereços diferentes, pois ao se usar o aplicativo WhatsApp não há comunicação direta entre os utilizadores, sempre os servidores são intermediários das mensagens, o aplicativo manda as mensagens dos utilizadores, e qualquer informação que colete a mais, direto para os servidores da empresa.

            O aplicativo Telegram, quando usado com a funcionalidade de Chat Secreto, é que possibilita uma comunicação fim-a-fim sem intermediários.

            Quanto a possibilidade da empresa WhatsApp fazer uma “man in the middle” é rídicula, visto que eles não precisariam fazer isso se quisessem de algum modo ver as mensagens sem cifragem, visto que eles fazem o aplicativo que é utilizado, bastaria alterar o aplicativo e mandar distribuir nas lojas. Muito mais rápido, fácil e eficiente do que recorrer a malabarismos tipo “man in the middle”. Entendeu?

            Eu estou apenas expondo que não há garantias de que não há backdoors, que a empresa WhatsApp está agindo de forma ética (a menos que haja auditoria externa nos fontes do aplicativo). A suposta segurança que eles apresentaram é contra terceiros, não contra eles próprios, que podem burlar a qualquer tempo, pois têm o controle de tudo que é usado na comunicação, tanto os aplicativos usado nos telemóveis, quanto os servidores.

            Está se especulando que as autoridades dos EUA estão a pensar numa lei que obrigue a colaboração das empresas, em casos como o da Apple x FBI. Se assim for, a empresa WhatsApp pode ser obrigada a abrir mensagens de alguns utilizadores que sejam investigados, eu apenas estou a esclarecer que é tecnicamente possível e fácil a empresa WhatsApp fazer isso. Entendeu?

          2. Avatar de Tomás
            Tomás

            Xinuo,
            o que se está a falar da WhatsApp é um sistema de encriptação ponta-a-ponta (fim-a-fim). A comunicação passa a ser negociada entre os dispositivos directamente após uma primeira negociação via servidor da WhatsApp.
            Man in the middle é exactamente a preocupação que quem analisa segurança tem levantado com os sistemas que dizem ser de encriptação ponta-a-ponta, e apenas necessita de modificação no servidor. Alterar o aplicativo implica mais mexidas (servidor também) e acabaria por ser revelada em prováveis análises de segurança a uma aplicação tão popular.
            Se for criada uma lei que obrigue a ter desencriptação isso automaticamente obriga a modificações da WhatsApp e altera os pressupostos e expectativas dos clientes. É diferente da discussão que estavas a levantar.

  3. Avatar de Ruca
    Ruca

    A bandidagem agradece

    Responder
    1. Avatar de Joao 2348
      Joao 2348

      E quem não é bandido ainda agradece mais por deixar de ter os bandidos a ouvir/ ver/ ler tudo o que faz.
      Nunca na história da sociedade tão poucos puderam ter acesso a tanto em simultâneo! A privacidade que se gozava antes destas novas tecnologias, está finalmente a regressar a pouco e pouco.

      Responder
  4. Avatar de Joana Silva
    Joana Silva

    adorei esta coisa da encriptação completa!!
    (espero que estejamos a falar do mesmo mas não vi o nome da funcionalidade na notícia)

    Responder
    1. Avatar de Jorge
      Jorge

      Assim só a bofia e os funcionarios do facebook é que podem ver as tuas nuds

      Responder
  5. Avatar de Manuel
    Manuel

    Não sendo especialista em encriptação, se eu envio uma mensagem cifrada, por onde passa a chave para abrir a minha mensagem? Não me parece que a comunicação seja ponto a ponto com o destinatário.

    Responder
    1. Avatar de Bruno Fernandes
      Bruno Fernandes

      Não passa. Quando estás com a pessoa em questão, podes gerar um código QR que a outra pessoa digitaliza com o seu telefone, ou vice-versa. A partir daí ambos os terminais sabem como comunicar.

      Responder
      1. Avatar de Manuel
        Manuel

        Olá Bruno, entendo o que dizes.
        Entendo que se tens uma chave privada disponibilizes a chave pública para a troca de mensagens cifradas. A minha questão mantém que é. Se é usada um algoritmo assimétrico tem de existir uma chave privada e pública. Não me parece que seja o caso. Para usar chave simétrica implica a negociação ponto a ponto. O que também não me parece que seja o caso. Os servidores deles serão man-in-the-middle. Por isso a minha dúvida por tal afirmação de que ninguém tem acesso às mensagens. Alguém tem ideia se tecnicamente isto é possível?

        Responder
        1. Avatar de Xinuo
          Xinuo

          O aplicativo do WA gerencia as chaves, é muito fácil para o aplicativo burlar quaisquer proteções.

          Tecnicamente os servidores deles não precisam abrir as mensagens, eles podem servir apenas como distribuidores das chaves públicas e retransmissores das mensagens cifradas, sendo que a chave privada ficaria apenas no telemóvel do utilizador. Sendo mais direto, os servidores deles não precisam agir como um man-in-the-middle.

          Mas é perfeitamente possível o aplicativo colocar uma porta traseira nas mensagens, de modo que os servidores possam decifrar as mensagens ou mesmo transferir para os servidores a chave privada do utilizador.

          Efetivamente os servidores estão no meio da transmissão entre os utilizadores, mas eles não precisam agir como um man-in-the-middle, pois os aplicativos dos utilizadores são desenvolvidos pelo próprio WA, não sendo necessário qualquer hack.

          A especulação que fiz, numa das primeiras mensagens desse post, e que repito novamente, foi de que o aplicativo pode burlar, a qualquer tempo, as proteções que promete ao utilizador.

          Responder
      2. Avatar de P
        P

        Tu dominas disto, ouve lá.
        Não conheces o conceito de Public key-private key? Eu acho que é isto que o WA usa, e não esse método que falas, mas estou só a falar de cor, visto que não uso o serviço

        Responder
        1. Avatar de Bruno Fernandes
          Bruno Fernandes

          Já tu, podias dominar o google e ler um pouco mais sobre o caso específico do WhatsApp e TextSecure.

          Responder
    2. Avatar de Zaark
      Zaark

      Chave pública e chave privada. Pesquisa acerca do assunto 😉

      Responder
      1. Avatar de rGk*
        rGk*

        +1

        Responder
    3. Avatar de Jorge
      Jorge

      criptografia assimetria com backdoor para os da N S A

      Responder
  6. Avatar de M.S.
    M.S.

    Como atualizo o whatsapp no iOS? Em definições não vejo nada que me indique o caminho….

    Responder
    1. Avatar de basmaX
      basmaX

      1º Vais até a cozinha e deitas o iphone no lixo.
      2º Vais ate uma loja de informatica (recomendo a pcdiga) e compras um bom telemovel Android.
      3º Activas as actualizaçoes automaticas por WI-FI das apss que tu confias (Whatsapp) e nunca mais te precisas de te preocupar com actualizações.

      Tou a Brincar. Boa SORTE. Nao te posso ajudar (ja não tenho iphones desde o 4s).

      Responder
      1. Avatar de Chuck
        Chuck

        +1

        Responder
      2. Avatar de Zaark
        Zaark

        Ou Windows Mobile :p

        Responder
      3. Avatar de Blackbit
        Blackbit

        🙂 🙂 🙂

        Responder
      4. Avatar de Jorge
        Jorge

        apply water on the burning phone

        Responder
  7. Avatar de Eric-Mayanga Nzalengi
    Eric-Mayanga Nzalengi

    Se é assim, q seja bem-vindo!
    Vou adorar muito…

    Responder
  8. Avatar de Pedro
    Pedro

    Quem nao deve nao teme

    Responder
    1. Avatar de Ricardo Afonso
      Ricardo Afonso

      Por vezes não é bem assim, certamente que não iria gostar que viessem ao meu telemóvel, seja porque meio ou entidade for, e acedessem a fotos da minha filha. Eu não devo e não temo…

      Responder
    2. Avatar de Zaark
      Zaark

      Todos pensam nas agências de segurança, ninguém se lembra da máfia. O mercado negro das informações pessoais é altamente lucrativo. E isto não é paranóia.

      Responder
      1. Avatar de Blackbit
        Blackbit

        Bem visto

        Responder
      2. Avatar de Joao 2348
        Joao 2348

        Infelizmente esquecem-se de que as máfias e os criminosos é que são o verdadeiro problema da população em geral e eles estão em todo o lado incluindo nos governos, policias e tribunais e de vez em quando lá vão uns quantos presos… mas disto ninguém quer falar por que é inconveniente.

        Responder
  9. Avatar de Ernesto
    Ernesto

    Gostei assim há mas segurança

    Responder
  10. Avatar de Jaquim
    Jaquim

    Só falta abrirem o código fonte 🙂

    Responder
  11. Avatar de Mota
    Mota

    Descobriram agora a pólvora estes.

    Eu contino com o telegram obrigado, é multi-device e já tem comunicações encriptadas à muito tempo.

    Responder
    1. Avatar de Pedro
      Pedro

      LOL. Mas olha que o Telegram também não é seguro. Vê aqui para perceberes o porquê.
      http://security.stackexchange.com/questions/49782/is-telegram-secure

      Responder
    2. Avatar de Pedro
      Pedro

      O melhor a esse nível é o Signal – https://whispersystems.org/
      É a unica app que o Snowden recomenda que se utilize…

      Quanto ao WhatsApp quando eles dizem que nem eles conseguem ver as msgs até podem estar a dizer a verdade, só a NSA é que consegue (devido a usarem cifras para as quais a NSA forneceu números mágicos.. isso é conhecido, basta irem procurar).

      Responder
      1. Avatar de Joao 2348
        Joao 2348

        A segurança do protocolo no WhatsApp foi desenvolvida pelas mesmas pessoas do Signal 😛 (ver noticia aqui: https://whispersystems.org/blog/whatsapp-complete/ ).

        Os famosos números mágicos da NSA estavam no Dual EC DRBG e nas curvas elípticas NIST P-256 e NIST P-384 (aparentemente a NIST P-512 é única realmente considerada segura… que curiosamente não está implementada em quase lado nenhum dos browsers… acho que apenas o Firefox ainda suporta tal)… que o WhatsAPP não usa.

        Mas o nível de segurança é de “apenas” 128 bits verdadeiros… o que deve deixar os palermas de fora, mas a NSA e outros similares já devem ser capazes de quebrar tal nível de segurança, pois até eles mesmos dizem que apenas 256 bits é suficiente para proteger informação altamente secreta… e o AES256 tem uma chave de 80 byte que me parece que serão +/- 20 caracteres ou seja só proporciona na pratica 128 bits de segurança (nem sei para que utilizaram AES256 em vez de AES128… deve ser porque para o marketing AES256 parece melhor), depois o SHA256 só proporciona um nível de segurança de 128 bits e a Curve25519 também só proporciona uma segurança de aproximadamente 128 bits de segurança.

        Pelo menos o WhatAPP deixa verificar/ confirmar a identidade e que a mesma não foi alterada… não é a coisa mais simples, mas é possível… no Threema é fácil perceber pelas cores se houve ou não alteração, ali, pelo que vi nas imagens complicaram mais e tem de se verificar os números de integridade ou usar de alguma maneira o código QR.

        Mas para ser verdadeiramente seguro “nível de segurança 256 bit” deveriam utilizar algo como cifra simétrica: Serpent-256 (ou Threefish ou outro ainda melhor tipo Chimera que é uma mistura de Threefish com um outro algoritmo de forma a fechar outros potenciais problemas de segurança do Threefish), algoritmos de integridade: Whirlpool-512 e curva elíptica: M511 (também conhecida como Curve511187).. isto provavelmente colocava a NSA e todas as outras de fora… se não conseguirem quebrar curvas elípticas que ninguém sabe se conseguem ou não… e se conseguirem provavelmente teria se utilizar o NTRU ou outro sistema similar de assinatura digital.

        Mesmo com tudo bem implementado, existe sempre a plataforma onde é utilizada que provavelmente não é segura de todas as maneiras, como as vulnerabilidades de segurança descobertas no passado e que se irão descobrir no futuro provam.

        Responder
        1. Avatar de Xinuo
          Xinuo

          Caro João 2348, como um utilizador pode ter certeza da segurança do app do WhatsApp?

          É tecnicamente possível a empresa WA liberar uma atualização do aplicativo WA que pode burlar qualquer nível de segurança que esteja sendo implementado, sim ou não?

          Responder
          1. Avatar de Joao 2348
            Joao 2348

            É absolutamente possível à WhatsApp fazer uma atualização específica para determinada pessoa (pois cada um terá uma identificação única no sistema). Que a pessoa se aperceba ou não de tal é outra conversa.
            Como utilizador não tem como saber se a aplicação WhatsApp é segura ou não, sem analisar totalmente o seu código fonte daquilo que é colocado no seu dispositivo. Terá de analisar por si mesmo, ou pagar a alguém em quem confie (confia em alguém?) para verificar.
            A nível global uma aplicação como o WhatApp com cerca de 1 milhar de milhões de utilizadores, vai ser alvo de inspecção por todo o tipo de peritos em programação e segurança, e não é uma hipótese é uma certeza, pois já aconteceu várias vezes com essa aplicação WhatsApp no passado… em que descobriram todo o tipo de problemas de segurança… e creio que foi tal que os levou a aceitar ajuda externa de forma a garantirem que isto era bem implementado desta vez.
            Pelo que li da forma como implementaram isto deixará todos contentes… pois o nível de segurança oferecido “128 bits” (se tiver sido tudo bem implementado) não impede a NSA e afins de interceptar e descodificar os conteúdos (pois eles mesmos só consideram segurança elevada a partir de 192 bits, e para ultra segurança tem de ser 256 bits… e para acima de ultra-segurança tem de ser outros algoritmos por eles aprovados) e por outro lado permite deixar os criminosos “comuns” fora das comunicações pois ainda não existirá capacidade real no mercado comercial para ultrapassar a tecnologia de segurança utilizada.
            É, partindo do princípio que está bem implementada, um óptimo avanço a nível de segurança… é preciso lembrar que a esmagadora maioria das pessoas usava o WhatsApp nem pensava em segurança… ou não utilizaria o WhatsApp de todo… pois até agora nunca tinham feito nada explicitamente para proteger as comunicações como deve de ser.
            Com esta alteração até consigo imaginar que bancos e similares comecem a ponderar o WhatsApp como uma plataforma segura para contactar os seus clientes. Se bem que seria bom o WhatsApp ter uma auditoria externa ao código fonte como tem feito outros mensageiros tipo Threema.

          2. Avatar de Tomás
            Tomás

            Joao 2348, tanto quanto eu sei as actualizações das aplicações são reguladas pela loja/sistema em quase todos os aparelhos móveis. A WhatsApp não teria como actualizar código de apenas um único aparelho sem a conivência da loja, que seria quem teria de implementar esse tipo de actualização isolada.

          3. Avatar de Joao 2348
            Joao 2348

            Tomás, tem razão, mas existem 3 possibilidades:
            1) Podem distribuir uma versão nova para toda a gente onde incluem uma lista daqueles a abrir um cavalo de Tróia. Aqui a probabilidade de ser detectado é enorme;
            2) Podem incluir algo que pesquisa regularmente os servidores do WhatsApp e que receber algo de forma diferente altera o seu comportamento a nível da forma como encripta. A probabilidade de alguém descobrir é menor, mas existe;
            3) Pode forçar a instalação da versão alterada num determinado dispositivo através de técnicas de exploração de vulnerabilidades de segurança, acesso físico, ou outros similares na sua natureza ou fim. A probabilidade de alguém descobrir é quase inexistente se for bem feito.

  12. Avatar de Fernando G. R. Divac
    Fernando G. R. Divac

    Telegram mandou um abraço…

    Responder
    1. Avatar de Joao 2348
      Joao 2348

      Para quem quer apenas comunicar e não liga a segurança serve perfeitamente.
      Se ligam a segurança/ privacidade então algo como WhatsApp, Threema, Silent Circle ou similar terá de ser utilizado.
      E sim o Telegram utiliza encriptação nos chats privados, mas aquilo estive a ver a informação do protocolo e deixou-me bastante preocupado a forma como integraram a tecnologia… eles dizem que é seguro e tal mas não fiquei convencido.

      Responder
  13. Avatar de TrasMontano
    TrasMontano

    Alguém conhece o WIRE (https://wire.com), que permite encriptação das mensagens de texto, video, e video-conferência, com suporte de diversas plataformas (PC, Android e iOS)?

    Responder
  14. Avatar de Sofia
    Sofia

    Boa noite! Estava numa conversação e apareceu-nos (a mim e à pessoa com quem eu estava a “falar”) uma mensagem a dizer que a conversa tinha sido copiada com sucesso ou algo do género. Nenhuma de nós tem ativada a opção de arquivar as conversas ou algo do género. Porque poderá ter-nos aparecido esta mensagem no visor… e às duas?

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.