EM MARÇO, a equipe de segurança do WhatsApp emitiu um alerta interno para seus colegas: apesar da poderosa criptografia do software, os usuários continuavam vulneráveis a uma perigosa forma de vigilância estatal. De acordo com avaliação de ameaça, até então não divulgada, e obtida pelo Intercept dos EUA, o conteúdo das conversas entre os 2 bilhões de usuários do aplicativo permanece seguro. Órgãos do governo, porém, segundo os engenheiros, estariam “ultrapassando nossa criptografia” para descobrir quais usuários se comunicam entre si, quem são os integrantes de grupos privados, e talvez até onde se localizam.
A vulnerabilidade se baseia na “análise de tráfego”, uma técnica de monitoramento usada há décadas, que depende do levantamento do tráfego de internet em uma imensa escala nacional. O documento deixa claro que o WhatsApp não é a única plataforma de mensagens que está suscetível. No entanto, argumenta que a Meta, proprietária do WhatsApp, precisa decidir rapidamente se irá priorizar a funcionalidade de seu aplicativo de chat ou a segurança de um segmento pequeno, mas vulnerável, de seus usuários.
“O WhatsApp deveria mitigar a atual exploração das vulnerabilidades de análise de tráfego que permite que os países determinem quem está falando com quem”, orientava a avaliação. “Nossos usuários em risco precisam de proteções robustas e viáveis contra a análise de tráfego.”
Diante do pano de fundo da guerra em curso em Gaza, o alerta de ameaça suscitou uma preocupante possibilidade entre alguns funcionários da Meta. A equipe do WhatsApp já especulou que Israel possa estar explorando essa vulnerabilidade como parte de seu programa de monitoramento de palestinos, agora que a vigilância digital está ajudando a decidir quem irão matar na Faixa de Gaza, segundo quatro empregados informaram ao Intercept.
“O WhatsApp não tem backdoors nem indícios de vulnerabilidades na forma como o WhatsApp funciona”, disse Christina LoNigro, representante da Meta.
Embora a avaliação descreva as “vulnerabilidades” como “atuais” e mencione o WhatsApp especificamente 17 vezes, LoNigro diz que o documento “não reflete uma vulnerabilidade no WhatsApp”, ela é apenas “teórica” e não exclusiva do aplicativo. LoNigro não respondeu se a empresa havia investigado a possibilidade de que Israel estivesse explorando essa vulnerabilidade.
Embora o conteúdo das comunicações por WhatsApp seja ilegível, a avaliação mostra como os governos podem usar seu acesso à infraestrutura da internet para monitorar quando e onde as comunicações criptografadas estão acontecendo, como se observassem um carteiro transportando um envelope lacrado. Essa observação do tráfego nacional de internet é suficiente para fazer importantes inferências sobre quais indivíduos estão conversando entre si, mesmo que o assunto de suas conversas permaneça um mistério. “Mesmo supondo que a criptografia do WhatsApp seja inviolável”, diz a avaliação, “os atuais ataques de ‘coleta e correlação’ ainda violariam o modelo de privacidade que planejamos”.
A avaliação de ameaça do WhatsApp não descreve situações específicas em que se saiba que esse método foi empregado por agentes públicos. Mas ela menciona extensas reportagens do New York Times e da Anistia Internacional, que mostram como os países em todo o mundo espionam a utilização dissidente de aplicativos de chat criptografados, como o WhatsApp, usando exatamente as mesmas técnicas.
À medida que as guerras se tornam cada vez mais informatizadas, os metadados – informações sobre quem, quando e onde nas conversas – passaram a ter um valor imenso para os órgãos de inteligência e forças militares e policiais no mundo inteiro. “Matamos pessoas com base em metadados”, brincou certa vez Michael Hayden, ex-diretor da Agência de Segurança Nacional dos EUA.
Mas até mesmo análises de metadados sem embasamento podem ser letais, segundo Matthew Green, professor de criptografia na Universidade Johns Hopkins. “Essas correlações dos metadados são exatamente isso: correlações. Sua precisão pode ser muito boa, ou apenas boa. Mas elas também podem ser medíocres”, diz Green. “A natureza desses sistemas é que eles vão matar pessoas inocentes e ninguém vai entender o motivo.”
Foi só depois da publicação, em abril, de revelações sobre como Israel adota uma abordagem de guerra centrada em dados, que a avaliação de ameaça do WhatsApp se tornou um foco de tensão dentro da Meta.
Uma reportagem colaborativa entre os sites de notícias +972 Magazine e Local Call revelou no mês passado que o exército de Israel usa um sistema de software chamado Lavender para permitir automaticamente que palestinos em Gaza sejam assassinados. O Lavender explora um enorme conjunto de dados sobre os 2,3 milhões de habitantes da Faixa de Gaza, e atribui por algoritmo a “quase todas as pessoas em Gaza uma classificação entre 1 e 100, que expressa a probabilidade de que sejam militantes”, diz o relatório, que cita seis oficiais de inteligência isralenses. “Caso várias características incriminatórias sejam descobertas em um indivíduo, ele terá uma classificação alta, e, portanto, se tornará automaticamente um potencial alvo de assassinato.”
O relatório indicou que o uso do WhatsApp está entre as múltiplas características pessoais e comportamentos digitais que os militares israelenses usam para marcar palestinos para morrer, e menciona um livro sobre uso de IA na determinação de alvos, escrito pelo atual comandante da Unidade 8200, equivalente à NSA em Israel. “O livro apresenta um breve guia para construir uma ‘máquina de alvos’, que na descrição se assemelha ao Lavender, baseada em IA e algoritmos de aprendizado de máquina”, segundo a matéria da +972. “Nesse guia estão incluídos vários exemplos de ‘centenas e milhares’ de recursos que podem aumentar a classificação de um indivíduo, como participar de um grupo de WhatsApp com um militante conhecido.”
As forças armadas israelenses não responderam ao pedido de comentários, mas disseram ao jornal The Guardian no mês passando que “não usam um sistema de inteligência artificial que identifica agentes terroristas ou tenta prever se uma pessoa é terrorista”. Os militares afirmaram que o Lavender “é simplesmente um banco de dados cujo objetivo é cruzar fontes de inteligência para produzir camadas atualizadas de informação sobre os agentes militares de organizações terroristas. Não se trata de uma lista de agentes militares confirmados que podem ser atacados.”
Foi apenas após a publicação das revelações sobre o Lavender e dos textos subsequentes sobre o assunto que uma parcela mais ampla de funcionários da Meta descobriu a avaliação de ameaça do WhatsApp de março, segundo quatro fontes da empresa, que pediram para permanecer anônimas, temendo retaliação por seu empregador. Ler sobre como os governos podem conseguir extrair metadados de identificação pessoal das conversas criptografadas no WhatsApp despertou profunda preocupação de que essa mesma vulnerabilidade possa ser explorada no Lavender e em outros sistemas militares israelenses de determinação de alvos.
Os esforços para pressionar a Meta por dentro para divulgar o que sabe sobre a vulnerabilidade e qualquer uso em potencial por Israel foram infrutíferos, segundo as fontes, em consonância com um padrão mais amplo de censura interna contra manifestações de simpatia ou solidariedade com palestinos desde o início da guerra.
Funcionários da Meta, preocupados com a possibilidade de que seu produto possa estar colocando pessoas inocentes na mira do exército israelense, entre outros receios relacionados à guerra, organizaram-se em uma campanha que chamaram “Metamates 4 Ceasefire” (Colegas da Meta pelo Cessar-Fogo) O grupo publicou uma carta aberta assinada nominalmente por mais de 80 funcionários. Um de seus pedidos é “o fim da censura – parem de apagar as palavras dos empregados internamente”.
Andy Stone, representante da Meta, disse ao Intercept que qualquer discussão sobre a guerra no local de trabalho está sujeita às regras de conduta gerais da empresa para o local de trabalho, e negou que esse tipo de discurso tenha recebido tratamento excepcional. “Nossa política foi escrita com isso em mente, e descreve os tipos de discussões apropriadas ao local de trabalho. Se os empregados quiserem suscitar preocupações, existem canais estabelecidos para fazê-lo.”
Segundo a avaliação interna, os riscos são altos: “a inspeção e a análise do tráfego de rede são completamente invisíveis para nós, mas revelam conexões entre os nossos usuários: quem está em um mesmo grupo, quem manda mensagens para quem, e (o mais difícil de ocultar) quem liga para quem”.
A análise observa que um governo pode saber com facilidade quando uma pessoa está usando o WhatsApp, em parte porque os dados precisam passar pelos servidores da Meta, que são imediatamente identificáveis. Um órgão do governo poderiam então revelar usuários específicos do WhatsApp rastreando seu endereço IP, um número exclusivo atribuído a cada dispositivo conectado, à sua conta do provedor de serviços de internet ou telefonia celular.
A equipe interna de segurança do WhatsApp identificou diversos exemplos de como a observação inteligente dos dados criptografados pode despistar as proteções à privacidade no aplicativo, uma técnica conhecida como ataque de correlação, segundo essa avaliação. Em um deles, um usuário do WhatsApp envia uma mensagem a um grupo, o que resulta na transmissão de uma rajada de dados exatamente do mesmo tamanho para os dispositivos de todas as pessoas do grupo. Outro ataque de correlação envolve medir o tempo de atraso entre o momento do envio e do recebimento de mensagens de WhatsApp entre duas partes, o que a empresa considera informação suficiente “para inferir a distância os destinatários e possivelmente a localização de cada um”.
O alerta interno observa que esses ataques exigem que todos os integrantes de um grupo de WhatsApp ou os dois lados de uma conversa estejam na mesma rede e dentro do mesmo país ou “jurisdição de tratado”, uma possível referência à aliança de espionagem Cinco Olhos, entre EUA, Austrália, Canadá, Reino Unido e Nova Zelândia. Embora a Faixa de Gaza tenha seus próprios serviços de telecomunicação operados por palestinos, o acesso à internet, em última análise, passa por cabos de fibra ótica israelenses, sujeitos à vigilância do estado de Israel. Embora o memorando dê a entender que os usuários “em democracias funcionais, onde haja devido processo legal e normas fortes de proteção à privacidade” podem estar menos vulneráveis, também destaca o uso dessas técnicas de escuta de telecomunicações pela NSA em território americano.
“Os atuais aplicativos de trocas de mensagens não foram programados para esconder esses metadados de um adversário que pode ver todos os lados da conexão”, explicou ao Intercept o professor de criptografia, Green. “Proteger o conteúdo é apenas metade da batalha. [Com] quem você se comunica, e quando, é a outra metade.”
A avaliação revela que o WhatsApp está ciente dessa ameaça desde o ano passado, e observa que as mesmas técnicas de vigilância funciona contra outros aplicativos concorrentes. “Praticamente todos os principais aplicativos de mensagens e ferramentas de comunicação não incluem os ataques de análise de tráfego entre seus modelos de ameaça”, diz Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional. “Embora os pesquisadores já saibam que esses ataques são tecnicamente possíveis, permanecia em aberto a pergunta sobre a viabilidade ou confiabilidade desses ataques em larga escala, como em um país inteiro.”
A avaliação deixa claro que os engenheiros do WhatsApp compreendem a gravidade do problema, mas também entendem como seria difícil convencer a empresa a corrigi-lo. O fato de que essas técnicas de desanonimização já foram estudadas e documentadas tão profundamente na literatura acadêmica, segundo Green, é uma função do quanto é “incrivelmente difícil” neutralizá-las para uma empresa como a Meta. “É uma compensação direta entre desempenho e capacidade de resposta por um lado, e privacidade, por outro”, explica ele.
Diante da pergunta sobre quais medidas a empresa teria tomado para reforçar as defesas do aplicativo contra a análise de tráfego, o representante da Meta respondeu ao Intercept: “Temos um comprovado histórico de lidar com questões que identificamos, e já atuamos para responsabilizar atores maliciosos. Temos os melhores engenheiros do mundo, que estão buscando proativamente reforçar ainda mais nossos sistemas contra quaisquer ameaças futuras, e continuaremos a fazê-lo.”
A avaliação de ameaças do WhatsApp observa que endurecer a segurança tem um custo para o aplicativo, que se orgulha de sua popularidade. O documento explica que será difícil proteger mais os usuários contra os ataques de correlação sem piorar o aplicativo de outras formas. Para uma gigante de capital aberto como a Meta, proteger usuários em risco entrará em conflito com objetivo da empresa, voltado para a lucratividade, de que seu software seja acessível e amplamente usado pelo maior número possível de pessoas.
“A Meta tem o mau hábito de não responder às coisas até que elas se tornem problemas esmagadores”, disse uma das fontes da Meta ao Intercept, mencionando a inércia da empresa quando o Facebook foi usado para incitar violência durante o genocídio dos rohingya em Myanmar. “A tensão sempre vai estar entre a participação de mercado, o domínio do mercado, o foco na maioria da população, em oposição a um pequeno grupo de pessoas que poderiam ser imensamente prejudicadas.”
O relatório alerta que acrescentar um atraso artificial nas mensagens para despistar as tentativas de geolocalização de remetente e destinatário dos dados, por exemplo, fará com que o aplicativo pareça mais lento para todos os 2 bilhões de usuários, sendo que a maioria nunca precisará se preocupar com a espionagem de agências de inteligência. Fazer com que o aplicativo transmita um fluxo regular de dados falsos para camuflar as conversas reais, outra possibilidade aventada na avaliação, poderia afastar os governos espiões. Mas isso também poderia ter o efeito adverso de prejudicar a duração da bateria e aumentar o custo das contas de dados móveis.
Para a equipe de segurança do WhatsApp, a decisão correta está clara. “A segurança do WhatsApp não consegue resolver sozinha a análise de tráfego”, diz o documento. “Precisamos primeiro concordar em entrar nessa briga e cooperar como uma equipe única para criar proteções para esses usuários perseguidos e em risco. Essa é a hora da verdade quando se trata do equilíbrio entre o princípio geral de privacidade do produto WhatsApp e as prioridades individuais da equipe.”
A avaliação sugere que o WhatsApp adote um modo de segurança reforçada para usuários em risco, semelhante ao “modo de bloqueio” da Apple para o iOS. Mas até mesmo essa configuração a mais poderia acidentalmente colocar em risco os usuários em Gaza ou em outros lugares, de acordo com Green. “As pessoas que ativarem esse recurso também podem saltar aos olhos”, diz. “Isso poderia por si só informar uma escolha de alvo. Seria realmente lamentável se a pessoa que em questão fosse uma criança.”
