WhatsApp e outros aplicativos de conversa tem uma falha séria de segurança, diz estudo
Aplicativos de mensagem como o Facebook Messenger, Whatsapp ou Viber podem até ter a conversa criptografada, mas ainda assim estão expostos a fraudes e hackers. Essa é a conclusão de um estudo realizado pela Brigham Young University (BYU) e o motivo encontrado pela equipe diz respeito a um procedimento seguro, mas muito trabalhoso na hora de atestar com quem estamos conversando.
Falta um procedimento nos aplicativos de mensagem
A exposição a vazamentos de dados se dá pela dificuldade ou ausência de um procedimento pelo qual uma pessoa atesta e confirma que realmente está conversando com quem deseja. O time de pesquisa da BYU chama esse procedimento de "cerimônia de autenticação".
Supostamente, a tal cerimônia pode reduzir o vazamento de dados porque aumenta em quase 80% a certeza de que as pessoas estão trocando mensagens com o devido destinatário, ou seja, tendo certeza de com quem estão conversando.
O que é a tal cerimônia de autenticação?
No estudo, pesquisadores definem o precedimento como: "uma seqüência de operações manuais que permitem aos usuários verificarem se estão realmente se comunicando". Isso é importante ser feito porque os apps de mensagem tem brechas que, em tese, permitem que terceiros atravessem uma conversa.
A cerimônia impede que outras pessoas interceptem as conversas porque, sem ela, os usuários precisam confiar inteiramente nos servidores do aplicativo para distribuir corretamente as chaves de criptografia.
Ao fazer a cerimônia, você não apenas sabe qual a porta correta da criptografia, mas tem a chave para abri-la e trancá-la nas suas mãos. Isso te dá certeza de quem irá entrar com você nessa porta, nessa conversa.
Ou seja, realmente há uma verificação de que você está se comunicando com seu parceiro e garante que nenhuma outra pessoa esteja lendo a mensagem, unindo, assim, a autenticidade e confidencialidade da conversa.
Da forma como estamos acostumados e somos induzidos a fazer pelos aplicativos, estamos confiando que os servidores dos apps distribuam corretamente as chaves de criptografia. "Isso deixa os usuários vulneráveis a ameaças que podem interceptar as comunicações", alerta o estudo.
"A cerimônia de autenticação permite que os usuários confirmem a identificação do parceiro de conversação desejado e garante que nenhuma outra pessoa - mesmo a empresa que fornece o aplicativo de mensagens - possa interceptar mensagens", informou a Universidade em comunicado.
Segurança com e sem autenticação
A pesquisa ocorreu em duas etapas. Na primeira, os voluntários foram incentivados a fornecer o número do cartão de crédito a outra pessoa e encorajados a garantir que suas mensagens fossem confidenciais.
Apenas 14% dos participantes conseguiram dizer com certeza que estavam conversando com o conhecido e que nenhuma outra pessoa tinha interceptado a conversa.
Na segunda fase do estudo, os participantes tinham o mesmo objetivo - fornecer o número do cartão de crédito a outra pessoa. A diferença é que, dessa vez, pesquisadores ensinaram como realizar a cerimônia de autenticação e a importância desse procedimento.
Dessa vez, 79% dos participantes conseguiu ter certeza sobre a autenticidade e confidencialidade da conversa.
Por que não há autenticação?
Um procedimento tão seguro é pouquíssimo usado no Facebook Messenger, Whatsapp e Viber pela dificuldade de ser encontrado, demora para realizar toda autenticação e, em alguns casos, inexistência do serviço. O experimento concluiu que os participantes demoram em média 11 minutos para autenticar manualmente seus destinatários
"O tempo necessário para encontrar e completar a cerimônia é indesejável do ponto de vista da usabilidade, e nossos dados não são conclusivos sobre se os usuários fazem a conexão entre essa cerimônia e as garantias de segurança que traz", conclui o estudo.
Objetivo de automatizar a autenticação
Agora, e equipe de pesquisa da universidade quer tornar essa cerimônia algo automático dentro dos aplicativos. Eles acreditam que se a autenticação ocorrer "nos bastidores" dos apps de maneira automática, os problemas poderão ser resolvidos sem ter que exigir uma mudança na postura ou costume dos usuários.
Mais sobre aplicativos
- Saiba como se proteger de "phishings", golpes que roubam suas senhas
- Site lista 306 milhões de combinações de senhas já vazadas na internet
- Nova tela da Apple só é vista de um ângulo: será o fim dos bisbilhoteiros de celular?