Ferramenta de trabalho e meio de comunicação com amigos e familiares, o WhatsApp – ou “zap zap” como é carinhosamente chamado por aqui – pode ser uma plataforma e tanto na hora de aproximar partes para conversas necessárias ou agradáveis. Nesse contexto, o Brasil é um dos países que mais utiliza o aplicativo de conversa WhatsApp e é também o líder mundial em mensagens de áudio, totalizando até quatro vezes mais envios desse tipo de mensagem se comparada mesmo a nações com mais usuários do serviço, como Índia ou Indonésia.
Com o uso amplamente disseminado para essa múltiplas aplicações, o WhatsApp detém simultaneamente o privilégio de fidelizar diariamente grandes porções da população mundial e o ônus de lidar com uma superfície de contato sem precedentes para fraudes e ciberataques. Diferentemente do acesso de sites por navegador, em que um endereço deve ser acessado de cada vez, a interface do aplicativo permite abordagens muito mais contundentes e direcionadas de agentes maliciosos.
Além disso, o WhatsApp também se diferencia por sua versatilidade de outros aplicativos bastante visados, como ferramentas de bancos digitais. Nesse contexto, os desafios de engenharia devem endereçar problemas tão díspares quanto roubo de identidade, fraudes, phishing e usuários com o WhatsApp hackeado sem saber o que fazer. Além disso, as ferramentas e protocolos de segurança devem ser sinalizados claramente a uma massa gigante de usuários com diferentes graus de instrução e diferentes culturas.
Incrivelmente, passos importantes foram dados pela Meta nos últimos anos com algum grau de sucesso para incrementar a segurança no aplicativo, como veremos a seguir.
Dar controle aos usuários
Certos protocolos e mecanismos de proteção implementados nos últimos anos são facultados aos usuários. Essa abordagem enseja ativar ou desativar medidas protetivas, conforme o cliente julgue que necessita de mais ou menos privacidade e segurança em sua experiência.
Alguns desses meios de controle de segurança andam de mãos dadas com atualizações de funcionalidades do aplicativo. O uso de grupos, por exemplo, é relativamente novo e crescente nessa plataforma, originalmente dedicada a conversas individuais.
Para coibir spam e phising, permissões para participação de grupos tanto para administradores quanto para participantes foram disponibilizadas. Dentro dos grupos, aspectos como mensagens temporárias ou de visualização única foram agregados, seguindo o exemplo de serviços como o Telegram – no qual, aliás, a Meta já havia se “inspirado” anos antes para fornecer criptografia de ponta a ponta.
Entretanto, algumas das mais significativas soluções de engenharia empenhadas para tornar o WhatsApp mais seguro funcionam “debaixo do capô”, como soluções necessárias e invisíveis aos usuários.
Soluções estruturais e discretas
Um desafio sério de segurança ligado ao aplicativo web do WhatsApp foi encarado em 2022 com a tecnologia Code Verify. Acessado pelo navegador, o WhatsApp Web abre vulnerabilidades ausentes no ambiente protegido do aplicativo móvel, já que é distribuído diretamente aos usuários sem revisão de segurança do código por terceiros – o que não ocorre numa loja de apps.
Para superar tal brecha de segurança, a Meta firmou uma parceria com a renomada empresa Cloudflare, resultando no Code Verify. Disponibilizado como uma simples extensão para Google Chrome, Microsoft Edge e Mozilla Firefox, esse mecanismo compara automaticamente versões de um hash criptográfico mantido separadamente pela Cloudflare e pelo WhatsApp Web no navegador para o código JavaScript do serviço. Havendo inconsistências nessa checagem, que se serve do conceito de “subresource integrity”, o usuário é notificado.
Ligações telefônicas
Além da vulnerabilidade do uso via navegador, a imensa quantidade de casos de golpes viabilizados pela função de ligações telefônicas via WhatsApp também motivou soluções de segurança importantes recentemente.
Em 2023, a Meta anunciou diversas medidas protetivas de ligações. A opção de “Silenciar Números Desconhecidos” veio em junho de 2023. Esse silenciamento automático de interlocutores desconhecidos pode ser ativado pelo usuário e usa um protocolo especial que diferencia o WhatsApp de outros serviços de ligação digital.
Nele, os servidores do próprio WhatsApp intermediam as ligações e enviam notificações de chamadas silenciadas ao dispositivo recipiente. Usualmente, o silenciamento de chamadas ainda permite a troca de informação entre o dispositivo que liga e o recipiente, o que abre margem para ataques de “zero clique”.
Por fim, em outubro de 2023 o WhatsApp passou a oferecer a opção de “Proteger endereço IP nas chamadas”. Apesar de reduzir a qualidade das chamadas feitas, também confere mais proteção e privacidade na interação, pois dificulta a descoberta da localização do aparelho em questão.