Blog

Não é o mais seguro, mas todo mundo usa – WhatsApp

Agradecemos a Gabriela Ivens, bolsista da WITNESS-Mozilla, por contribuir com a seção sobre backups na nuvem e a todos os parceiros da WITNESS e defensores dos direitos humanos que compartilharam experiências de uso do WhatsApp que foram fonte deste artigo.

 “WhatsApp, WhatsApp? ”, Ativistas e jornalistas de todo o mundo usam o WhatsApp para se  comunicar e compartilhar mídia e informações relacionadas aos direitos humanos.  Embora o WhatsApp não seja, necessariamente, a opção mais segura, achamos extremamente importante compartilhar dicas de redução de danos para esse aplicativo. O WhatsApp é incrivelmente popular, tem criptografia de ponta a ponta, e, às vezes, é até mesmo gratuito ou muito barato nos pacotes de dados móveis oferecidos pelas operadoras de telefonia em muitos países. Mas o WhatsApp não tem alguns recursos importantes, conforme discutiremos abaixo e, se você não estiver fazendo o uso correto deste app, pode estar colocando a si mesmo e aos outros em risco.

Você ainda usa o WhatsApp? Então deve usá-lo da forma mais segura possível.

O WhatsApp tem uma criptografia de ponta a ponta ativa para indivíduos e grupos. Isso significa que o conteúdo das mensagens só pode ser lido por quem os escreve e por quem os recebe e não por qualquer intermediário – nem mesmo por qualquer agente público ou privado, que possa fazer pedido legal ao WhatsApp para ter acesso aos seus dados.

No entanto, existem muitos meios dessa criptografia falhar.

Segurança é um problema da comunidade

Em primeiro lugar, independente do quanto você cuide da sua segurança, você também está confiando na segurança de outras pessoas com quem se comunicae elas confiando em você. Como escrevemos na seção de riscos legais e de segurança do nosso guia sobre como criar bancos de dados da violência policial, é importante falar sobre segurança com outras pessoas e pensar em quem está mais em risco e como é sua responsabilidade ter um cuidado especial com essas pessoas. Por exemplo, você pode proteger a identidade dos contatos especialmente vulneráveis, como líderes de comunidades, excluindo regularmente mensagens, vídeos e imagens que você tenha recebido deles e até salvar as informações desses contatos com nomes codificados.

Você também pode ter acordos de segurança para os membros do grupo. Essa medida é útil para grupos de pessoas que se conhecem e em especial para grupos públicos maiores. Você pode comunicar essas diretrizes em uma mensagem de boas-vindas a ser enviada toda vez que uma pessoa nova se junta ao grupo. Se você faz parte de um grupo que inclui jornalistas, você pode incluir informações sobre exatamente como os jornalistas podem interagir com os membros do grupo. Você pode incluir informações sobre o processo de adição de novos membros, expectativas em torno de exclusão de conteúdo antigo e os acordos sobre o que você vai ou não vai ser dito no grupo.  Por exemplo:

Bem-vindo ao grupo que organiza as filmagens da polícia em nosso bairro. Por favor, não adicione novos membros sem primeiro obter a aprovação de pelo menos três outros membros. Exclua mensagens e mídia, especialmente vídeos, deste bate-papo em grupo após 3 dias. Não use o backup na nuvem para suas mensagens do WhatsApp. Não discuta a localização física dos participantes neste grupo. Segurança é solidariedade. Obrigado pela compreensão!

 

Seja claro sobre metadados

Embora o WhatsApp não tenha acesso ao conteúdo de suas mensagens, ele ainda coleta informações do assinante que podem dizer muito sobre quem você é, quem são seus amigos e sua comunidade, para onde você está indo e quando você está usando o aplicativo. Não está totalmente claro a que exatamente o WhatsApp tem acesso, mas a página “Informações para autoridades policiais” observa que eles podem fornecer à polícia “nome, data de início do serviço, data da última vista, endereço IP e endereço de e-mail”, bem como números que bloquearam ou que foram bloqueados pelo usuário ”e ainda  informações da guia “sobre”, como fotos de perfil, informações do grupo e catálogo de endereços. ” Um repórter revisou os materiais requeridos por tribunais nos EUA e também descobriu pedidos de dados de localização.

O mais seguro a fazer é pensar na privacidade do WhatsApp como se aplicando apenas ao conteúdo das mensagens.

O Facebook está conectado ao WhatsApp

O WhatsApp faz parte da “Família Facebook”. Em 2016, o WhatsApp mudou seus termos de serviço para explicitar que começaria a “conectar seu número de telefone com os sistemas do Facebook”. O WhatsApp tem algumas limitações especiais em vigor na União Europeia devido ao Regulamento Geral de Proteção de Dados, mas em outros lugares esse compartilhamento de dados parece estar em vigor. Isso significa que seus contatos no WhatsApp podeme provavelmente serão analisados ​​e conectados aos seus contatos no Facebook. A política de privacidade do WhatsApp afirma que suas informações podem ser usadas para fazer “sugestões de produtos (por exemplo, de amigos ou conexões, ou de conteúdo interessante)”. Isto significa que, se você está em um grupo de WhatsApp com alguém, essa pessoa pode ser sugerida como contato no Facebook. Isso pode ser particularmente perigoso em um grupo maior onde circula material relacionado a direitos humanos. Você pode diminuir o risco, garantindo que seu número de telefone não está associado com o Facebook e se você não tem o app de Facebook em seu telefone. Se você já compartilhou seu número com o Facebook ou instalou o aplicativo em seu telefone, sua única opção pode ser usar o WhatsApp com um número diferente, especialmente porque o WhatsApp não oferece nenhuma maneira de desativar esse compartilhamento de informações.

Cuide da segurança física

A segurança digital e física são uma coisa só e a mesma coisa, e o WhatsApp é um exemplo perfeito. Os parceiros da WITNESS e defensores dos direitos humanos em todo o mundo passaram por situações de atenção ao WhatsApp durante as abordagens presenciais. É prática comum, em abordagens de forças de segurança, obrigar as pessoas a abrirem o WhatsApp e a compartilharem o conteúdo e os contatos. Essa informação é então usada para perseguir outros ativistas ou membros de comunidades marginalizadas, como o povo Rohingya em Myamnar ou moradores das favelas brasileiras.

É uma prática recomendada excluir regularmente as mensagens do WhatsApp após o backup de qualquer conteúdo importante (leia abaixo mais informações sobre como fazer isso). Você pode excluir uma mensagem do telefone de todos os receptores por até uma hora após o envio da mensagem, mas depois disso você não tem controle sobre o que enviou para outras pessoas e elas precisam excluir as mensagens por conta própria. Considere também os riscos a segurança física derivados da manutenção ou o transporte de dados exportados ou armazenados em backup local e considere usar criptografia nos seus dispositivos, embora saibamos que a criptografia não ajuda quando você é ameaçado de violência física ou detenção se não entregar as suas senhas.

Será que eles são quem você pensa que são? Verificar contatos

Primeiro, é importante usar o bom senso. Em grandes grupos do WhatsApp, é provável que você encontre pessoas que não conheceu pessoalmente. Use os métodos normais que você usaria para determinar quem é quem, como perguntar ao administrador do grupo ou pesquisar em outro lugar, como o Facebook, para ver se você tem amigos em comum com essa pessoa. Isso é especialmente importante porque o WhatsApp tem uma falha de segurança que pode permitir que alguém com acesso aos servidores do WhatsApp ingresse em um grupo sem ser convidado. Se você está lidando com um jornalista em um grupo grande, pesquise sobre ele online ou peça links para matérias que ele tenha publicado. Em geral, a melhor maneira de saber quem é quem é em um encontro pessoal, e a segunda melhor maneira é verificar com conhecidos mútuos que sejam confiáveis.

Depois de se certificar de que você conhece a pessoa, é melhor certificar-se de que você está enviando mensagens realmente para essa pessoa. A criptografia de ponta a ponta do WhatsApp usa “chaves” para verificar se a mensagem que você está recebendo realmente vem daquela pessoa. Quando isso funciona, é um sistema muito forte. Mas existem formas consistentes para de certificar de que realmente está funcionando. Primeiro, você pode verificar se está recebendo mensagens da pessoa correta, verificando sua chave. Confira as excelentes instruções do EFF.org sobre a chave de segurança do WhatsApp no ​​Android ou nos iOs – esse processo leva apenas um minuto.

Depois de verificar a chave de algum contato, você também deve ativar as notificações de segurança para ver se esse contato “altera a chave”. Isso acontece quando as pessoas reinstalam o WhatsApp em um novo telefone, mas também pode significar que alguém está tentando se passar por seu contato. Portanto, se você receber essa mensagem, verifique as pessoas por meio de outro canal, como uma chamada de voz. 

Não ignore a criptografia de ponta a ponta com Backups em nuvem

Não habilite backups automáticos do iCloud em backups de iOs ou do Google Drive no Android. Esses backups são criptografados nos servidores do Google ou da Apple, mas esse armazenamento de suas mensagens por terceiros torna insignificante a criptografia de ponta a ponta no aplicativo, porque o Google, a Apple e qualquer pessoa que possa legalmente obrigá-los ou obter acesso podem ler, baixar ou analisar suas mensagens do WhatsApp. A Apple fornecerá dados do iCloud para as forças de segurança, e o Google também responderá a solicitações legais para acesso a dados. Ao fazer o backup na nuvem, você perde a proteção contra ordens judiciais e intimações para obtenção de acesso aos dados do WhatsApp em servidores de terceiros. Se isso acontecesse, é possível que os usuários nem sequer sejam informados, dependendo do tipo de ordem judicial solicitada. Para aqueles que usam o WhatsApp para se comunicar sobre questões sensíveis ou com comunidades marginalizadas, o armazenamento de mensagens, vídeos, imagens, detalhes de contato e informações detalhadas do grupo são uma preocupação legítima tanto em relação a segurança quanto a privacidade.

Se você não quiser fazer backup o WhatsApp, mas em vez disso, quer manter um registro de seus bate-papos e mídia para fins de prestação de contas ou registro, você pode exportar e salvá-los fora do app. A WITNESS lançará um guia sobre como salvar cópias de conteúdo importante, como vídeos, imagens, voz e mensagens de bate-papo do WhatsApp o mais rápido possível, e atualizaremos esta postagem com um link para esse guia.

O WhatsApp fez duas alterações para os usuários do Android que entraram em vigor nesta semana. A primeira alteração foi que, em 12 de novembro, o Google excluiu todos os backups do WhatsApp que não foram “salvos em backup” no ano passado no Google Drive.

A segunda atualização é que, no futuro, o WhatsApp e o Google oferecerão aos usuários do Android um armazenamento ilimitado e gratuito de backups do WhatsApp no ​​Google Drive, sem contar a sua cota de armazenamento no Google Drive. Embora isso possa ser tentador, conforme observado acima, armazenar esse conteúdo no Google Drive acaba com a criptografia de ponta a ponta.

É altamente recomendável que os usuários nunca usem o Google Drive para backups do WhatsApp. Em vez disso, você pode usar um gerenciador de arquivos em seu telefone para encontrar o backup local, conforme descrito neste tutorial do WhatsApp, e você também pode se orientar pelo nosso guia para manter conteúdos de bate-papos e mídia fora do aplicativo.

Tornando o WhatsApp melhor

Existem alguns recursos que faltam ao WhatsApp que seriam realmente úteis para os defensores dos direitos humanos e melhorariam a privacidade e a segurança de todos.

Em primeiro lugar, o WhatsApp deveria adicionar “mensagens que desaparecem”, o que significa que deveria ser possível enviar mensagens que se excluam após um determinado período de tempo. Isto significaria que você poderia depender menos nas boas práticas de segurança de outras pessoas.

Em segundo lugar, o WhatsApp deve permitir que os usuários optem por não compartilhar dados com o Facebook a qualquer momento. Isso diminuiria o risco de que conexões indesejadas fossem feitas. Da mesma forma, o WhatsApp deveria tornar mais claro exatamente quais metadados são coletados para que os usuários possam fazer escolhas informadas sobre como eles usam o aplicativo.

Em terceiro lugar, o WhatsApp não deveria permitir “nenhum conhecimento” (também conhecido como “zero conhecimento“) criptografia para backups, ou seja, esses backups ainda só seriam legíveis para os usuários. Se o WhatsApp não estiver pronto para fazer isso, ele deveria ter advertências mais claras no aplicativo que explicitassem que os backups do iCloud e do Google não são criptografados no mesmo nível que as mensagens protegidas por criptografia de ponta a ponta.

Por fim, independente de fazer melhorias, o WhatsApp não deve se livrar da criptografia de ponta a ponta.

Certifique-se de verificar o nosso outro post hoje, “What’s Up, WhatsApp?” Para sugestões sobre como lidar com informações erradas no WhatsApp. Compartilhe suas ideias conosco sobre social media usando a tag #WhatsUpWhatsApp ou em nosso site.

13 de novembro de 2018


Este artigo está licenciado sob uma licença Creative Commons Atribuição 4.0 Internacional.

1ª atualização 20 de novembro de 2018: Adicionado crédito para Gabriela Ivens e agradecimento aos defensores dos direitos humanos.