Teme que alguém possa espiar as suas conversas WhatsApp? Gostaria de obter alguns conselhos sobre como se defender contra tais ameaças? Então penso que veio ao lugar certo na altura certa.
Tendo em conta também os numerosos pedidos que recebi sobre o assunto, decidi hoje tratar da vossa privacidade no WhatsApp: vou falar-vos de algumas das principais técnicas que os atacantes utilizam para interceptar conversas sobre este serviço de mensagens muito popular e, mais importante ainda, recomendar-vos-ei que tomem algumas medidas preventivas para evitar que alguém bisbilhotice na vossa conta.
Digo-lhe desde já: felizmente espiar as mensagens da WhatsApp não é tão fácil como ler (ou pelo menos já não o é), mas ai de mim, baixem a guarda! Devemos ter sempre cuidado e seguir todas essas regras de senso comum que nos permitem realizar as nossas actividades digitais de uma forma razoavelmente calma. Se quiser compreender melhor o que quero dizer, continue a ler, encontrará tudo explicado abaixo. Começaremos por analisar todas as ameaças contra as quais precisamos de estar atentos e depois veremos, em conjunto, que medidas tomar para as evitar. Aproveite a leitura!
Sniffing de redes sem fios
Uma das técnicas de espionagem mais "populares" envolve "farejar" redes sem fios com software como o Wireshark (do qual também falei no meu tutorial sobre como farejar uma rede sem fios). O termo "sniffing" indica uma actividade de monitorização de redes sem fios que lhe permite captar toda a informação que viaja no claro nas redes sem fios.
No caso do WhatsApp, um atacante poderia usar o sniffing para monitorizar a rede à qual o smartphone da vítima está ligado, mas felizmente esta técnica já não deveria funcionar.
De facto, no final de 2014, os criadores da Open Whisper Systems anunciaram uma colaboração com a WhatsApp que trouxe a sua encriptação de ponta a ponta (chamada TextSecure) para dentro da famosa aplicação de mensagens. 1
A encriptação ponto a ponto é uma tecnologia que lhe permite proteger a informação contra o acesso não autorizado utilizando um sistema de duas chaves: uma pública e outra privada. No caso específico do WhatsApp, a chave pública é partilhada com a outra parte e permite que as mensagens enviadas sejam encriptadas. A chave privada, por outro lado, reside apenas no smartphone de cada utilizador e é utilizada para decifrar mensagens recebidas.
Isto significa que as mensagens deixam o telefone do remetente e chegam ao destinatário, através dos servidores da WhatsApp, de forma encriptada. Apenas os proprietários das chaves utilizadas para as gerar, ou seja, os remetentes e destinatários legítimos, são capazes de decifrar o conteúdo.
Então, a WhatsApp é inexpugnável? Bem, nem por isso. A encriptação de ponta a ponta elimina potencialmente as técnicas de rastreio, mas infelizmente existem outras "armas" que os atacantes podem utilizar para espiar as mensagens da WhatsApp.
Além disso, temos de considerar o facto de que o WhatsApp é software de código fonte fechado, ou seja, não é possível analisar o código fonte em profundidade, pelo que não podemos saber se a implementação da encriptação de ponta a ponta foi feita de forma artesanal. ou menos.
Moral da história: a situação deve ser suficientemente calma, mas não se deve baixar a guarda.
Roubo de identidade
Um dos maiores perigos para as nossas contas WhatsApp reside actualmente no roubo de identidade, ou seja, do acesso não autorizado às nossas conversas através do "truque" dos sistemas de autenticação do serviço.
Roubo de identidade através do WhatsApp Web
Uma das formas mais fáceis de roubar a identidade de alguém no WhatsApp é tirar partido da funcionalidade Stay Connected do WhatsApp Web, o serviço que lhe permite enviar e receber mensagens WhatsApp no seu PC utilizando o seu telemóvel como "ponte".
Também lhe falei disso no meu post sobre como utilizar o WhatsApp no PC: para aceder ao WhatsApp Web, basta enquadrar o código QR que aparece no ecrã do seu computador com o seu smartphone. Depois disso, se deixar a marca de verificação ao lado do item " Stay Connected" activo, o serviço funciona sem autenticação adicional. Basta que o telemóvel em que o cliente original está instalado esteja ligado à Internet (não importa se está na mesma rede Wi-Fi que o computador ou noutras redes).
O que é que isto significa? Que um atacante poderia roubar o seu telefone com qualquer desculpa, enquadrar o código QR da Web WhatsApp no seu computador (ou mesmo no seu tablet, utilizando o modo de visualização do ambiente de trabalho incluído em muitos navegadores) e aceder às suas mensagens sem que reparasse.
Felizmente, existe uma solução para ultrapassar este problema: ao activar um sistema de protecção no seu dispositivo utilizando dados biométricos, tais como o desbloqueio do dispositivo através do rosto ou impressão digital, este sistema será necessário, para efeitos de confirmação, incluindo o acesso. WhatsApp Web / Desktop.
Clonagem de endereços MAC
A clonagem de endereços MAC é outra técnica bastante refinada que os atacantes podem utilizar para roubar a identidade de um utilizador no WhatsApp. É ainda bastante eficaz mas a sua complexidade, e especialmente o tempo necessário para a sua implementação, significa que não está muito difundida.
O endereço MAC é um código de 12 dígitos que identifica de forma única todos os dispositivos capazes de se ligarem à Internet. É também utilizado pela WhatsApp para verificar a identidade do utilizador, por isso se estiver disfarçado para ter o mesmo aspecto que outro telefone, pode ser utilizado para aceder às contas de outras pessoas.
Para "clonar" o endereço MAC de uma pessoa, o atacante de serviço deve instalar aplicações ad-hoc no seu smartphone (por exemplo, BusyBox e Phantom Mac Address para Android, ambos os quais requerem raiz). Deve então assumir o smartphone da vítima, descobrir o endereço MAC (basta consultar a secção de informação do menu Android ou iOS) e definir o mesmo código no seu telefone.
Quando a operação estiver concluída, o "espião" deve instalar uma nova cópia do WhatsApp no seu smartphone, activá-lo com o número da vítima e introduzir o código de verificação que chega ao telefone da vítima. Como mencionado, esta é uma operação bastante longa, não ao alcance de todos, mas ainda assim deve ser conhecida, a fim de evitar surpresas desagradáveis.
Nota: sem clonagem prévia do endereço MAC, é praticamente impossível activar o WhatsApp com o número de outra pessoa. Ou melhor, é possível, mas totalmente inútil. O serviço, de facto, permite-lhe utilizar apenas um smartphone para cada número de telefone e, portanto, o legítimo proprietário da conta só precisaria de reactivar a aplicação no seu dispositivo para "cortar as pernas" de qualquer espião (o que, entre outras coisas, faria com que ele fosse imediatamente descoberto pela vítima).
Aplicações de Spyware
Outro perigo a estar em guarda são as chamadas aplicações espiãs, aplicações que são instaladas directamente nos smartphones das pessoas a serem espiadas e escondem a sua presença.
Mesmo as aplicações de controlo parental ou software anti-roubo podem ser configuradas para espiar o utilizador e tirar fotografias de ecrã do smartphone. Falei-vos disto em pormenor no meu tutorial sobre como espiar em telefones Android.
Como se defender
Neste momento está provavelmente a perguntar-se como se pode proteger de todas estas ameaças. Bem, não existe segurança absoluta, mas se tentar pôr em prática todas as dicas que estou prestes a dar-lhe, deverá ser capaz de dormir razoavelmente bem.
- Utilize sempre a versão mais actualizada do WhatsApp - Os programadores do WhatsApp estão constantemente a trabalhar na segurança do seu software. Se quiser dormir relativamente bem, abra a loja no seu smartphone e certifique-se de que está a utilizar a última versão da aplicação.
- Use um PIN seguro - Se um atacante roubar o seu smartphone mas não conseguir adivinhar o PIN para aceder ao mesmo, não pode fazer nada de errado. Por conseguinte, é essencial que tenha um código de desbloqueio no ecrã de bloqueio e que este último seja suficientemente complexo (daí ser difícil de adivinhar).
- Para definir o PIN no Android, vá a Definições> Segurança> Bloqueio de ecrã> PIN (ou Definições> Segurança> Bloqueio de ecrã> Padrão se quiser usar um gesto em vez do código numérico).
- Para definir o PIN no iPhone, vá a Definições> Touch ID & Passcode> Change Passcode.
- Desactivar a exibição de SMS no ecrã de bloqueio - outra medida de segurança que pode tomar é desactivar as notificações SMS no ecrã de bloqueio. Desta forma, se um atacante tentar activar o WhatsApp com o seu número de telefone e quiser ver o código de verificação do serviço, não poderá ser bem sucedido.
- Para desactivar SMS no ecrã de bloqueio do Android, vá ao menu Definições> Segurança> Ecrã de Bloqueio> PIN, defina o seu PIN e opte por ocultar apenas conteúdo sensível.
- Para desactivar o SMS no ecrã de bloqueio do iPhone, vá ao menu Definições> Notificações> Mensagens e desmarque Mostrar no "Ecrã de Bloqueio".
- Verifique as suas sessões Web WhatsApp - como mencionado acima, alguém poderia tentar roubar a sua identidade utilizando a Web WhatsApp. Para evitar este risco, vá ao menu Definições> WhatsApp no WhatsApp e verifique todas as sessões activas na sua conta. Se houver algum suspeito, prima o botão Disconnect em todos os computadores e os "espiões" perderão a capacidade de aceder ao WhatsApp Web (uma vez que lhes será pedido para digitalizar novamente o código QR do serviço).
- Evitar as redes Wi-Fi públicas - mesmo que o "farejar" das redes sem fios não seja tão eficaz como costumava ser, é melhor evitar as redes Wi-Fi públicas. Se puder, opte pela rede 3G / LTE do seu operador, se puder.
- Ouve os conselhos da "mãe " - se quiseres evitar que alguém mete o nariz nas tuas conversas online, ouve os conselhos da tua mãe: não emprestes o teu telefone a estranhos, não deixes o teu smartphone sem vigilância durante muito tempo ... e não te atrases na noite! :)
- Como alguns testes independentes publicados online mostram, a encriptação de ponta a ponta foi inicialmente aplicada apenas à versão Android do WhatsApp. Nas outras plataformas de software, foi utilizado um sistema de encriptação baseado no algoritmo RC4, que é notoriamente mais vulnerável a ataques. Agora, porém, a situação deveria ter mudado, a encriptação de ponta a ponta está lentamente a chegar a todas as versões da WhatsApp. ︎