Como funciona a criptografia do WhatsApp
Em novembro de 2014, os desenvolvedores do Open Systems Sussurro anunciaram uma colaboração com o WhatsApp com o objetivo de trazer seu sistema para criptografia ponta a ponta (TextSecure) no popular aplicativo de mensagens para telefones celulares. A criptografia ponta a ponta funciona com um par de chaves: um privado e um público. Lá chave privada ele reside exclusivamente em nosso smartphone e é usado para descriptografar mensagens recebidas de fora. Lá chave públicaem vez disso, ele é compartilhado com nosso interlocutor e é usado por este para criptografar as mensagens que nos são entregues (e vice-versa). No meio estão os servidores do WhatsApp, que atuam como "carteiros", ou seja, recebem mensagens criptografadas (portanto ilegíveis tanto para os gestores do serviço quanto para qualquer pessoa mal-intencionada) e as entregam no telefone do destinatário.
A grande vantagem da criptografia de ponta a ponta é que tudo acontece na velocidade da luz e sem que o usuário precise levantar um dedo. O único potencial desconhecido reside na aplicação real deste sistema. O WhatsApp, na verdade, é um software de código fechado e não é possível saber com certeza absoluta como ele trata as mensagens. A única coisa que pode ser feita - e que vários estudiosos têm tentado fazer - é examinar o tráfego de dados do aplicativo com softwares como Wireshark (Eu falei sobre isso em meu post sobre como farejar uma rede sem fio, lembra?) E Yowsup.
Alguns desses testes, como o realizado por Heise em abril de 2015, mostraram que a criptografia ponta a ponta só era usada na versão Android do WhatsApp. Os outros continuaram a usar um sistema de criptografia baseado no algoritmo RC4, que funcionava apenas na saída (tornando as mensagens nos servidores do WhatsApp potencialmente legíveis) e não foi considerado seguro por vários meses. Mas agora a situação mudou, a criptografia de ponta a ponta também chegou em outras plataformas (iOS, Windows Phone etc.) e abrange todos os conteúdos veiculados pelo app: mensagens, chats em grupo, vídeos, fotos, etc.
Podemos, portanto, dizer que WhatsApp é razoavelmente seguro; capturar as mensagens que trafegam em seus servidores deve ser uma tarefa muito difícil, mas é certo manter um pouco de dúvida quanto à impossibilidade de analisar profundamente o código-fonte da aplicação. Para obter mais detalhes sobre a criptografia de ponta a ponta e sua implementação no WhatsApp, consulte meu tutorial sobre como criptografar o WhatsApp.
Como espionar WhatsApp: técnicas de engenharia social
Como acabamos de dizer, capturar mensagens do WhatsApp tentando "farejar" os dados que transitam na rede sem fio usada pelo smartphone, graças à criptografia ponta a ponta, não é tão fácil como costumava ser. Mas existem técnicas para espionar WhatsApp, menos refinado, que ainda pode acertar o alvo. Essas técnicas fornecem acesso físico ao smartphone da vítima e, portanto, envolvem os chamados engenharia social.
No jargão técnico, a expressão engenharia social se refere a todas as atividades que exploram a psicologia humana para fraudar a vítima de um ataque cibernético. Isso significa que um invasor pode fingir ser um amigo (ou, em qualquer caso, confiável) e pedir seu telefone emprestado pelos motivos mais triviais (por exemplo, fazer uma ligação) e, em seguida, enfiar o nariz em seus dados pessoais, ou em suas conversas no WhatsApp.
Aqui estão alguns exemplos de um ataque direto ao WhatsApp que requer acesso físico ao telefone e, portanto, uma abordagem por meio de engenharia social.
Espiar no WhatsApp via WhatsApp Web / Desktop
WhatsApp web é um serviço oferecido gratuitamente pelo WhatsApp que permite ler e enviar mensagens do seu computador usando o smartphone como uma "ponte". Expliquei em detalhes como funciona no meu tutorial de como usar o WhatsApp no PC, onde também falei sobre o cliente WhatsApp oficial para Windows e macOS que funciona da mesma maneira.
Para usar o WhatsApp Web e o cliente WhatsApp oficial para computadores, basta conectar-se a uma página da Web ou abrir o cliente WhatsApp e escanear um código QR que aparece na tela do computador usando a função WhatsApp apropriada no smartphone. Depois disso, se você deixar a marca na opção ativa Fique ligado, o acesso ao serviço ocorre automaticamente sempre que o smartphone é conectado à Internet.
O que é ainda mais importante ressaltar é que o todo funciona mesmo se o smartphone e o computador não estiverem conectados à mesma rede sem fio, isso significa que os dois dispositivos também podem estar a uma distância considerável um do outro, o importante é ter feito o primeiro acesso com o código QR e manter a seleção na opção “Ficar conectado”.
O que isto significa? Isso significa que um invasor pode pegar emprestado o telefone da vítima sob qualquer pretexto, após o que ele pode acessar o WhatsApp Web ou o cliente WhatsApp de seu notebook (ou mesmo de seu smartphone / tablet, permitindo a visualização do site em desktop ou usando aplicativos que são baseados no WhatsApp Web) e, assim, têm acesso às conversas do usuário para serem espionadas.
No entanto, deve ser especificado que esta solução pode não ser viável, caso o usuário tenha configurado proteções de reconhecimento biométrico em seu dispositivo, como desbloqueio com o rosto ou utilizando a impressão digital. Neste caso específico, portanto, não é possível acessar WhatsApp web, sem a permissão do proprietário do dispositivo.
Espiar no WhatsApp disfarçando o endereço MAC
Il Endereço MAC (sigla para Media Access Control) é um endereço de 12 dígitos que permite identificar exclusivamente as placas de rede em PCs e, de forma mais geral, todos os dispositivos capazes de se conectar à Internet, como smartphones.
Ao disfarçar o endereço MAC de seu smartphone, um invasor pode "enganar" o WhatsApp e instalar uma cópia do aplicativo em seu telefone para receber todas as mensagens da vítima. Felizmente, esta é uma operação bastante complexa que leva muito tempo para ser concluída, mas é bom saber disso para evitar que algum "astuto" possa colocá-la em prática. A seguir, ilustro as várias etapas que você deve seguir para disfarçar o endereço MAC do seu telefone e instalar uma cópia "clonada" do WhatsApp.
- Como primeiro passo, para disfarçar o endereço MAC do seu smartphone, você deve desbloquear o sistema operacional com operações como root no Android ou jailbreak no iPhone e instalar aplicativos adequados para o propósito (por exemplo, SpoofMAC para iPhone e o emparelhamento BusyBox-Mac Address Ghost para Android).
- Em seguida, todas as cópias do WhatsApp no dispositivo devem ser removidas e preparadas para a ação.
- A ação, nesse caso, consiste em pegar emprestado o smartphone da pessoa a ser espionada e realizar essas duas operações.
- Descubra o endereço MAC do dispositivo (no Android basta ir ao menu Configurações> Sobre o telefone> Status, no iPhone no menu Configurações> Geral> Informações> Endereço Wi-Fi).
- Defina o endereço MAC do telefone a ser espiado em seu smartphone.
- Instale o WhatsApp em seu smartphone e ative-o usando o número de telefone da vítima (no qual o código de ativação do aplicativo será entregue).
Espiar no WhatsApp usando o número de telefone da vítima
Alguns sites sugerem que espionar WhatsApp instalando uma cópia do aplicativo em seu telefone e tendo seu código de ativação entregue ao smartphone da vítima (que, portanto, deve estar temporariamente disponível).
Essa técnica não funciona, ou melhor, não funciona enquanto o WhatsApp permite que você associe números de telefone a apenas um dispositivo por vez. Isso significa que ao ativar dois smartphones com o mesmo número de celular, o primeiro para de funcionar e a vítima - felizmente - percebe imediatamente o uso não autorizado de sua conta.
Espiar no WhatsApp com aplicativos de controle dos pais e aplicativos espiões
No mercado existem muitos aplicativos para controle dos pais, quase sempre pagos, mas com versões de teste gratuitas, que permitem monitorar as atividades realizadas em um smartphone, controlar o telefone remotamente e capturar imagens à distância. Bem, alguns deles também podem ser explorados para fins ilícitos e usados para espionar mensagens trocadas no WhatsApp ou outros sistemas de mensagens.
Entre os aplicativos de controle dos pais mais eficazes e fáceis de usar atualmente disponíveis no mercado, gostaria de destacar Qustodio para Android e iOS e Tempo de tela que também está disponível para Android e iOS. Ambos os aplicativos, uma vez instalados no smartphone da vítima, permitem que você saiba se e quando a vítima acessa o WhatsApp e permitem que você bloqueie ou limite o uso do aplicativo remotamente. Eles não permitem que você capture diretamente as conversas trocadas dentro do serviço, mas incluem outros recursos que são muito invasivos para a privacidade.
Ainda mais perigoso do ponto de vista do WhatsApp são os aplicativos espiões, ou seja, aplicativos desenvolvidos exclusivamente para espionar o smartphone da vítima, que são totalmente invisíveis e também permitem captar mensagens digitadas no teclado do telefone.
Entre os aplicativos espiões mais populares no momento está o iKeyMonitor que é compatível com Android e iPhone, mas felizmente é bastante difícil de configurar e, acima de tudo, é bastante caro, pois custa 22,49 $ / mês (após 3 dias grátis tentativas).
Para saber mais sobre Qustodio, Screen Time e outros aplicativos que podem ser usados para fins de espionagem, verifique minhas postagens sobre como espionar um celular e como espionar celulares Android.
App para monitorar o acesso ao WhatsApp
Eles não podem ser aplicativos definidos corretamente para espionar o WhatsApp, mas saiba que também existem aplicativos que permitem que você monitorar o acesso ao WhatsApp por um usuário, anotando os horários das últimas conexões ao serviço e o tempo despendido dentro dele. Essas soluções são particularmente “desagradáveis”, pois funcionam remotamente e não requerem acesso ao smartphone da vítima (na verdade, usam dados públicos fornecidos pelo WhatsApp e, portanto, não podem ser devidamente definidos como um aplicativo espião).
Como se proteger de espiões
Depois de fazer este resumo "assustador" sobre as técnicas de espionagem mais populares para conversas no WhatsApp, vamos ver alguns conselhos práticos sobre como se defender de intrometidos. Essas são regras simples de bom senso a serem seguidas para evitar roubo de identidade e outras surpresas desagradáveis (não necessariamente relacionadas ao WhatsApp).
- Use um PIN seguro - o primeiro conselho que gostaria de dar é usar um PIN seguro para desbloquear a tela de bloqueio do smartphone (não, 1111 e 1234 não são PINs seguros!). Você pode alterar o PIN facilmente usando o menu de configurações do seu smartphone.
- Android - Configurações> Segurança> Bloqueio de tela> PIN (ou Padrão se você preferir usar um gesto em vez do PIN numérico).
- iPhone - Configurações> Touch ID e código> Alterar código.
- Desativar SMS na tela de bloqueio - se quiser evitar o risco de algum invasor ativar uma cópia "clonada" do WhatsApp ao entregar um SMS de confirmação ao seu smartphone, desative a exibição de SMS na tela de bloqueio (desta forma, qualquer invasor deve ter acesso total ao smartphone para realizar o seu plano e não o poderá fazer com o telemóvel bloqueado).
- Android - Configurações> Segurança> Bloqueio de tela> PIN. Depois de definir o PIN, você pode escolher se deseja não mostrar as notificações (para qualquer aplicativo) ou se deseja ocultar apenas o conteúdo sensível. Se você escolher esta segunda opção, só poderá desativar a exibição de SMS na tela de bloqueio.
- iPhone - Configurações> Notificações> Mensagens> desmarque a opção Mostrar na "Tela de bloqueio".
- Verifique suas sessões do WhatsApp na Web - como vimos anteriormente, é possível violar a privacidade dos usuários do WhatsApp ativando o serviço da Web do WhatsApp "ilegalmente". Se você está preocupado que alguém possa ter realizado tal operação contra você, verifique as sessões da Web do WhatsApp ativas para sua conta e, se encontrar alguma suspeita, desative-a. Para verificar as sessões da Web do WhatsApp abertas para sua conta, vá para o menu Configurações> Web / Área de Trabalho do WhatsApp. Para desativar todos eles, no entanto, primeiro pressione o botão Saia de todos os computadores e, em seguida, Desligar.
- Reative sua conta imediatamente em caso de desativação - se alguém ativou uma segunda cópia do WhatsApp usando seu número, o serviço deixará de funcionar em seu smartphone. Se de repente sua conta for desativada, prossiga para ativá-la novamente e entre em contato com o suporte do WhatsApp em support@whatsapp.com para relatar que provavelmente deseja roubar sua identidade.
- Não use software espião - muitos aplicativos espiões são anunciados na Internet que prometem capturar todas as mensagens do WhatsApp. Existem muito poucos que realmente funcionam. Na maioria dos casos, trata-se de golpes muito bons, ou mesmo malware com o objetivo de roubar dados do usuário para fins ilegais. Tente ficar longe deles!
- Não empreste seu smartphone para o primeiro que vier - este conselho também poderia ser dado a nós pelas nossas avós, mas é sempre melhor reiterar alguns conceitos!
CUIDADO: este guia foi escrito apenas para fins ilustrativos. Espiar as conversas de outras pessoas é crime punível por lei, por isso não me responsabilizo pela forma como você usará as informações contidas neste artigo.
