Fim da criptografia? Como lei europeia impacta a segurança do WhatsApp
Sem tempo, irmão
- Nova legislação na União Europeia exigirá que usuários de diferentes plataformas de mensagem possam trocar mensagens
- Regra afeta apenas plataformas com grande presença no mercado: WhatsApp, Telegram, Messenger e iMessage
- Conexão entre várias plataformas exigiria um protocolo de segurança único, abrindo brechas na criptografia de ponta a ponta
- Regra já foi aprovada, mas ainda pode ser alterada, como parte de um amplo pacote de regulamentação do mercado digital europeu
Uma decisão do parlamento da União Europeia pode tornar menos segura a criptografia do WhatsApp e de outros aplicativos de mensagens.
A DMA (Lei de Mercados Digitais), que regulamenta a atuação das empresas de tecnologia no continente, incluiu em seu texto a interoperação entre aplicativos de comunicação nos países que fazem parte do bloco. Esse item obriga que grandes plataformas de mensagens criem mecanismos para que seja possível trocar mensagens, ligações de voz ou de vídeos também com outros aplicativos menores.
A nova regra abrange empresas com valor de mercado acima de 75 bilhões de euros (R$ 396 bilhões) e com uma base de usuários de pelo menos 45 milhões de pessoas na Europa. Por esses critérios, afetaria WhatsApp, Telegram, Messenger e iMessage.
Na prática, um usuário do WhatsApp, por exemplo, poderá interagir com outra pessoa que tenha apenas o Signal, plataforma considerada menor no mercado europeu. Atualmente, o WhatsApp só permite conversa entre pessoas que usam o mesmo aplicativo.
O parlamento europeu afirma que a medida quebra a exclusividade de comunicação, dando mais liberdade de escolha aos usuários. A ideia é que eles não seriam mais obrigados a instalar vários aplicativos para interagir com diferentes pessoas.
Apesar da aprovação do item, a nova regra ainda poderá ser alterada, pois a DMA está em fase de elaboração pelos parlamentares europeus.
Por que isso pode deixar os aplicativos inseguros?
A medida também passará por manifestações das grandes empresas de tecnologia afetadas pela legislação.
Um das questões a ser tratada durante os debates é a segurança de criptografia de ponta a ponta dos aplicativos.
A implementação de uma interação entre aplicativos de mensagens diferentes forçaria a execução de sistema de segurança único por todos, ou compartilhado entre as grandes empresas com as menores, que possuem protocolos menos seguros.
O WhatsApp e Telegram, por exemplo, usam a chamada "criptografia de ponta a ponta". É uma tecnologia que dá garantias de que a mensagem só poderá ser vista por quem enviou ou pelo destinatário. Mesmo que a mensagem fosse interceptada no meio do caminho, ela não poderia ser decodificada.
Mas isso só funciona porque ambos os usuários usam o mesmo aplicativo. Agora, com a DMA, essa segurança poderá ser afetada, pois aplicativos diferentes usam protocolos de segurança distintos.
Para o pesquisador em segurança na internet e professor da Universidade de Columbia (EUA), Steven Bellovin, não é possível conciliar dois protocolos de segurança diferentes.
"Tentar reconciliar duas arquiteturas criptográficas diferentes simplesmente não pode ser feito. Um lado ou outro terá que fazer grandes mudanças", garantiu, em entrevista ao site The Verge, dos Estados Unidos.
"Um protocolo que funciona apenas quando ambas as partes estão online será muito diferente de outro que funciona com mensagens armazenadas. Como você faz esses dois sistemas operarem entre si?", exemplifica.
O ex-engenheiro do Facebook Alec Muffet tem a mesma preocupação. Ele acredita que a nova regra da União Europeia deixa os aplicativos vulneráveis porque é "impensável" que empresas tenham criado sistemas de criptografias iguais que poderiam ser algum dia combinados. Cada um tem sua especificidade.
"Se você entrasse em um McDonald's e dissesse 'no interesse de quebrar os monopólios corporativos, exijo que você inclua um prato de sushi de algum outro restaurante no meu pedido', eles ficariam apenas olhando para você", compara Muffett.
Além disso, caso a medida vigore, os aplicativos deverão travar uma batalha entre si para chegarem a um consenso sobre qual é o protocolo mais adequado a ser adotado, pois cada um entende que o seu é o mais seguro. Será uma disputa de confiança.
"Não há como permitir a criptografia de ponta a ponta sem confiar em cada provedor para lidar com o gerenciamento de identidade", concluiu Alex Stamos, diretor do Stanford Internet Observatory e ex-diretor de segurança do Facebook.
*Com informações do site The Verge.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.