“Porque o WhatsApp nunca será seguro”, uma carta de Pavel Durov

"A era da ganância e da hipocrisia vai acabar. A era da liberdade e da privacidade vai começar. E isso está mais próximo do que parece" 

Ilustração publicada no artigo de Pavel Durov

O WhatsApp é, de longe, a aplicação de chat mais popular; contudo, a competição neste segmento de aplicações é tudo menos pacífica. Signal e Telegram são dois dos maiores concorrentes e, até agora, faziam da privacidade um argumento praticamente só seu até este ano o Facebook decidir mudar de estratégia de vendas. A par disso, são notórias as funcionalidades do Telegram que mais dia menos dia aparecem exactamente iguais no WhatsApp. No rescaldo de tudo isto, e depois de se saber que o WhatsApp tinha uma vulnerabilidade relativamente fácil de explorar, Pavel Durov, um dos fundadores do Telegram, utilizou o seu canal para dizer a todos os que o seguem porque acha que o WhatsApp nunca será seguro.

Durov começa por dizer que o surgimento a público de informação sobre a vulnerabilidade não o surpreende e por lembrar que já no ano passado uma outra tinha sido detectada na mesma aplicação. O russo diz que parece que cada vez que o Facebook tem de corrigir uma falha de segurança outra surge em seu lugar. Numa crítica discreta mas ainda mais incisiva, Durov sugere que as falhas de segurança nestas aplicações são úteis à vigilância e parecem ser autênticas backdoors — uma backdoor é uma falha criada propositadamente pelo programador com o objectivo de poder aceder remotamente a um sistema ou aparelho.

Segundo Pavel Durov, esta desconfiança só acontece porque ao contrário da sua aplicação, Telegram, o WhatsApp não disponibiliza o seu código fonte. Ao não ser open source, o WhatsApp não permite que investigadores de segurança – independentes ou profissionais – possam testar os seus limites, descobrindo falhas que possam prejudicar os utilizadores em geral. Se a disponibilização em código aberto e o incentivo aos chamados bounty-hunters —  programadores que descobrem falhas nos sistemas em troco de recompensas — tem sido uma estratégia cada vez mais em voga por algumas tecnológicas, Durov diz que o Facebook faz propositadamente o contrário, tornando os ficheiros das suas aplicações difíceis de dissecar. (O Facebook tem um

Mas as críticas não se ficam por aqui, nem se resumem à gestão da empresa. Durov, que teve de abandonar a Rússia depois de uma contenda com o Governo de Vladimir Putin, também aponta críticas às instituições dos Estados Unidos da América, dizendo que é possível que o Facebook seja obrigado a manter backdoors nas aplicações que possam ser usadas pelo FBI. Pavel diz que nas três semanas que a sua equipa esteve nos EUA testemunhou três tentativas de invasão por parte do FBI, deixando no ar a questão sobre quantas tentativas terá o Facebook/WhatsApp sofrido nos últimos 10 anos.

Eu percebo que as agências de segurança justifiquem a criação de backdoors com o esforço anti-terrorismo. O problema é que tais backdoors podem ser igualmente usadas por criminosos e governos autoritários. Não admira que pareça que os ditadores adoram o WhatsApp. A sua falha de segurança permite-os espiar as suas pessoas, por isso o WhatsApp continua disponível gratuitamente em sítios como a Rússia ou o Irão, onde o Telegram está banido pelas autoridades.

Depois da questão do open source, Durov parte para uma segunda, a da encriptação, fazendo um throwback de toda a história do WhatsApp neste capítulo – história que se cruza com a do Telegram que nasceu em 2012 como resposta às vulnerabilidades de segurança desta. Pavel Durov recorda-nos que no princípio a aplicação WhatsApp transmitia as mensagens em texto simples que podia ser acedido por hackers, Governos ou gestores de redes wi-fi. Numa fase posterior de 2012, o WhatsApp lançou o seu primeiro sistema encriptado, mas logo se soube que a chave estaria a ser partilhada e o número de telefone continuava em texto simples. Pouco tempo depois o WhatsApp era comprado pelo Facebook.

Foi apenas há três anos, quando o Facebook começou a forçar a migração entre aplicações que o WhatsApp estreou o seu sistema de encriptação end-to-end. Durov aponta a coincidência entre o princípio da utilização desta tecnologia e uma campanha para que os utilizadores fizessem backups do seu WhatsApp na cloud — onde a encriptação end-to-end não existe.

Os resilientes o suficiente para não cair nas constantes pop-ups a dizer-lhe para fazer backup dos seus chats podem ser monitorizados por outros truques — desde aceder aos backups dos contactos até mudanças invisíveis na chave de encriptação.

Durov diz que é praticamente impossível o WhatsApp algum dia ser 100% seguro e continuar com todo o seu mercado e no seu país de origem. De seguida, dá o exemplo dos fundadores da empresa e criadores da aplicação que abandonaram a administração, revelando preocupações com o nível de privacidade da app. Brian Acton disse em Setembro de 2018 que sentia que tinha vendido a privacidade dos seus utilizadores ao vender a empresa ao Facebook. Sobre eles, Durov acrescenta que compreende a sua relutância em dar mais detalhes, partilhando o seu exemplo pessoal de quando teve de fugir do seu país natal, a Rússia, por recusar aceder à quebra de privacidade dos utilizadores da rede social VK.

Mesmo os que deixam o WhatsApp completamente continuam provavelmente a usar o Facebook ou o Instagram.

Durov reserva os últimos parágrafos da carta a criticar um dos mais recentes escândalos em torno do Facebook — o armazenamento das passwords em texto — e passa de seguida para as comparações com a sua própria app de mensagens. Segundo Pavel Durov e, segundo o que é público, em seis anos o Telegram não teve qualquer tipo de falha alarmante de segurança. O criador da app acrescenta ainda que ao longo desse tempo partilharam absolutamente zero bytes com terceiros, enquanto que no seu concorrente diz ser prática comum darem dados a qualquer pessoa que diga que trabalha para o Governo.

Ainda na toada de comparações, Pavel Durov aponta uma tendência que muitos utilizadores já tinham reparado, a do WhatsApp para copiar integralmente as funcionalidades que vão sendo lançadas na aplicação do avião de papel. Para Durov, o último passo dessa cópia deu-se no palco do F8 e em todo o discurso de Zuckerberg que praticamente parecia “uma citação da descrição do Telegram, palavra por palavra”.

No final, em jeito de balanço e alegações, o russo mostra-se ciente do porquê de não conseguir competir com o gigante Facebook, afinal de contas as suas equipas competem há 13 anos. Se há alguns anos atrás os russos roubaram a liderança dos norte-americanos no mercado das redes sociais na Europa de Leste, agora esperam batê-los no mercado das mensagens. A cavar a distância entre ambas as estratégias estão os milhões gastos pelo Facebook em marketing, departamento em que o Telegram não investe.

Não será fácil. O departamento de Marketing do Facebook é enorme. Nós, no Telegram, seja como for, fazemos zero marketing. Não queremos pagar a jornalistas e investigadores para dizer ao mundo sobre o Telegram.