
Isso significa que nem mesmo os funcionários do WhatsApp podem ler as mensagens enviadas através de sua rede. No entanto, esta não se trata de uma rede anônima: por isso, ainda há alguns dados que estão fora da criptografia ponta-a-ponta.
Vamos começar com os dados que são protegidos:
– todas as mensagens de texto
– todas as mensagens de voz
– todas as fotos
– todos os vídeos
– todos os arquivos
– todas as ligações VoIP pelo WhatsApp
Isso vale para conversas individuais e em grupo. Ambas usam a “criptografia de chave pública”: o usuário A pede uma chave pública ao servidor do WhatsApp que se aplique ao usuário B. O usuário A usa a chave pública para criptografar a mensagem. No entanto, ela também requer uma chave privada para ser lida, em posse apenas do usuário B.
Então, o que sobrou? Basicamente, seu número de celular e sua lista de contatos. Nos termos de privacidade, o WhatsApp avisa quais dados são coletados:
Você fornece algumas informações pessoais, como o seu número de celular, nome para notificações push (se aplicável), informações de cobrança (se aplicável), e informações do dispositivo móvel para o WhatsApp…
A fim de fornecer o serviço, o WhatsApp vai acessar periodicamente a sua lista de contatos no celular para localizar números de outros usuários WhatsApp (“dentro da rede”), ou categorizar outros números de celular como números “fora da rede”, que são armazenados como valores hash unidirecionais e irreversíveis.
O WhatsApp também informa os dados que são gravados nos servidores, incluindo quando cada mensagem foi enviada ou recebida:
Quando você usa o serviço WhatsApp, nossos servidores registram certas informações gerais que o nosso aplicativo envia sempre que uma mensagem é enviada ou recebida, ou se você atualizar ou solicitar qualquer informação de status, incluindo horário e data, mais os números de celular de origem e destino das mensagens.
“Não somos uma rede anônima”
Ou seja, as autoridades talvez não consigam fazer o WhatsApp revelar o conteúdo das mensagens – uma das exigências da Justiça no Brasil e também nos EUA – mas o serviço poderia tranquilamente informar com quem você conversou, e em quais dias e horários – são osmetadados.
Isso não deve ser uma surpresa, porque o WhatsApp não é uma rede anônima. Você precisa se identificar através de um número de telefone, que normalmente precisa ser associado a um cliente. Até mesmo Jan Koum, chefe do WhatsApp, deixa isso claro. Em entrevista à Folha, ele diz:
Não somos uma rede anônima. Para usar o app, as pessoas precisam de um número de telefone que é associado à sua identidade, e as empresas de telecomunicação sabem quem é dono de qual número. Então eu acho que tratar-nos como uma rede anônima na qual as pessoas podem acessar e criar um usuário anônimo, pseudônimos, não é algo totalmente preciso. Os usuários ainda estão atrelados a uma identidade, a uma pessoa, um número de telefone que pertence a um ser humano.
E de fato, os termos de privacidade permitem ao WhatsApp divulgar seus metadados em casos específicos:
Nós podemos coletar e publicar Informações Pessoalmente Identificáveis e/ou informações não-pessoais identificáveis se isso for exigido por lei; ou na crença de boa-fé que tal ação é necessária para cumprir com leis estaduais e federais (como a lei americana de direitos autorais), leis internacionais ou para responder a uma ordem judicial, intimação mandado de busca ou equivalente; ou se, em nossa crença razoável, a segurança física de um indivíduo possa estar em risco ou ameaçada.
Alternativas
Outros serviços de chat seguro possuem termos semelhantes: eles criptografam as mensagens e não podem lê-las, mas guardam informações básicas sobre o usuário e metadados das conversas – e isso pode ser cedido às autoridades. O Bleep, aplicativo de conversas P2P do BitTorrent, diz em seus termos de serviço:
… o BitTorrent tem o direito de reter e/ou divulgar qualquer informação ou material, incluindo o seu conteúdo ou suas informações da conta (ou elementos dela) em posse do BitTorrent e em conexão com o uso dos Serviços para cumprir com a legislação aplicável, processo judicial ou pedido do governo…
O ChatSecure com plugin Orbit, recomendado pela Electronic Frontier Foundation, diz algo semelhante em sua política de privacidade: “o ChatSecure revela informações pessoalmente identificáveis apenas em resposta a uma intimação, ordem judicial ou outra solicitação governamental”.
Também temos o Signal, usado por Edward Snowden – no entanto, não conseguimos encontrar a política de privacidade no site da Whisper Systems, responsável pelo app. Eles forneceram tecnologia para a criptografia ponta-a-ponta do WhatsApp.
Uol