1 pontos por GN⁺ 2025-06-19 | 1 comentários | Compartilhar no WhatsApp
  • A TV estatal do Irã pediu à população na tarde de terça-feira que apagasse o WhatsApp dos smartphones, alegando que o app coleta informações dos usuários e as envia a Israel, mas não apresentou provas concretas
  • O WhatsApp rebateu a acusação como notícia falsa e disse temer que isso possa ser usado como justificativa para bloquear o serviço justamente quando as pessoas mais precisam dele
  • O serviço usa criptografia de ponta a ponta, de modo que provedores intermediários não podem ler as mensagens, e o WhatsApp afirmou que não rastreia localização exata, não mantém registros de com quem a pessoa conversa, não monitora mensagens privadas nem fornece informações em massa a governos
  • Gregory Falco, especialista em cibersegurança da Cornell University, afirmou que já foi demonstrado que apenas os metadados não criptografados podem revelar informações sobre como o app é usado
  • O Irã vem bloqueando várias plataformas de mídia social, mas muitos usuários contornaram isso com proxies e VPNs, e o WhatsApp e a Google Play foram banidos em 2022 antes de terem a restrição removida no fim do ano passado

Pedido da TV estatal e falta de evidências

  • A TV estatal do Irã pediu à população na tarde de terça-feira que removesse o WhatsApp dos smartphones
  • Como justificativa, afirmou que o WhatsApp coleta dados dos usuários e os envia a Israel, mas não apresentou provas concretas para sustentar a acusação

Resposta do WhatsApp e estrutura de criptografia

  • O WhatsApp classificou a reportagem como notícia falsa e disse temer que ela possa servir de pretexto para bloquear o serviço justamente quando as pessoas mais precisam dele
  • O serviço usa criptografia de ponta a ponta
    • O provedor de serviço intermediário não pode ler as mensagens
    • As mensagens são embaralhadas para que só remetente e destinatário possam vê-las, e mesmo que um terceiro as intercepte, verá apenas conteúdo indecifrável sem a chave
  • O WhatsApp descreveu assim seu tratamento de dados
    • Não rastreia a localização exata dos usuários
    • Não mantém registros sobre quem envia mensagens para quem
    • Não monitora as mensagens privadas que as pessoas trocam entre si
    • Não fornece informações em massa a nenhum governo

Os metadados que ficam fora da criptografia

  • Gregory Falco, professor assistente de engenharia da Cornell University e especialista em cibersegurança, disse que já foi demonstrado ser possível compreender os metadados do WhatsApp que não são criptografados
  • Segundo ele, esses metadados podem revelar como as pessoas usam o app, e por isso alguns usuários já vinham evitando usar o WhatsApp

Soberania de dados e localização da infraestrutura

  • Falco apontou a soberania de dados como outra questão importante
  • O datacenter que hospeda os dados do WhatsApp de um determinado país não precisa necessariamente estar dentro desse país
    • Como exemplo, ele disse que é bastante possível que os dados do WhatsApp do Irã não estejam hospedados dentro do próprio Irã
  • Na visão dele, os países devem manter seus dados dentro do próprio território e processá-los internamente com seus próprios algoritmos
  • Ele acrescentou que está cada vez mais difícil confiar na rede global de infraestrutura de dados

Serviços da Meta e histórico de bloqueios no Irã

  • O WhatsApp pertence à Meta Platforms, controladora de Facebook e Instagram
  • O Irã bloqueia há anos o acesso a várias plataformas de mídia social, mas muitos usuários continuaram acessando por meio de proxies e VPNs
  • Em 2022, o país baniu o WhatsApp e a Google Play durante os grandes protestos antigoverno após a morte de uma mulher que estava sob custódia da polícia da moralidade
  • A proibição foi revogada no fim do ano passado
  • O WhatsApp era um dos aplicativos de mensagens mais populares no Irã, ao lado de Instagram e Telegram

1 comentários

 
GN⁺ 2025-06-19
Opiniões no Hacker News
  • A escolha das palavras no comunicado da Meta é a parte mais interessante
    Eles disseram: “não rastreamos a localização exata dos usuários, não mantemos logs de quem está trocando mensagens com quem, nem rastreamos mensagens privadas que as pessoas enviam umas às outras”, e acrescentaram que “não fornecemos informações em massa a nenhum governo”

    • Lendo nas entrelinhas, soa como se rastreassem a localização aproximada, registrassem mensagens em grupo e fornecessem certas informações quando há solicitação governamental
    • Isso é simplesmente mentira. Conheço pessoalmente alguém que trabalhou na Meta, e essa pessoa disse que havia equipes dedicadas a criar ferramentas capazes de exportar dados em massa de acordo com os critérios consultados por governos
      Não sei exatamente qual governo tinha que tipo de acesso, se era baseado em mandado, de quais países se tratava, nem onde ficava a linha entre terroristas reais e repressão a jornalistas
      Mas exportação em massa definitivamente existia, e o fato de mentirem sobre isso me faz presumir o pior
    • Sobre a parte “não mantemos logs de quem está trocando mensagens com quem”, em https://faq.whatsapp.com/444002211197967/?locale=en_US aparece o seguinte
      No curso normal da prestação do serviço, o WhatsApp não armazena mensagens entregues nem logs de transações de mensagens entregues, e mensagens não entregues são apagadas dos servidores após 30 dias
      Mas diz também que, quando acredita de boa-fé que isso é necessário para segurança dos usuários, detecção, investigação e prevenção de atividades ilegais, resposta a processos legais ou solicitações governamentais, e aplicação dos termos e políticas, pode coletar, usar, preservar e compartilhar informações de usuários, incluindo informações sobre como alguns usuários interagem com outros usuários no serviço
      Essa redação entra em conflito com a afirmação de que não mantêm logs de quem troca mensagens com quem
    • Esta é a empresa que criou um listener localhost secreto no Android para tentar rastrear usuários entre sites mesmo em modo privado. Não dá para acreditar nisso nem por 1 segundo
      Na verdade, é mais plausível assumir que eles rastreiam tudo com alta precisão e também fazem ataque de intermediário (MITM) nas mensagens. Ainda mais agora que estão colocando anúncios
    • Parece um jogo de dizer a mesma frase destacando palavras diferentes a cada vez
      Nós não mantemos logs de quem está trocando mensagens com quem…”
      “Nós não mantemos logs de quem está trocando mensagens com quem…”
      “Nós não mantemos logs de todas as pessoas que estão trocando mensagens com quem…”, e assim por diante
  • Há muita especulação com base fraca de que o WhatsApp faz ataque de intermediário em conversas criptografadas de ponta a ponta, mas o caminho mais provável de acesso por governos já está exposto publicamente
    O WhatsApp incentiva fortemente os usuários a fazer backup das conversas no iCloud ou no Google Drive. Esses backups, por padrão, não são criptografados ou, no mínimo, são criptografados com uma chave conhecida pela Meta, e a maioria dos usuários mantém o padrão
    O iMessage é igual. Se “iCloud Backup” e “iMessage in the cloud” estiverem ativados, as mensagens recebidas são enviadas à Apple com chaves acessíveis pela Apple, a menos que “Advanced Data Protection” também esteja ativado. E isso também não é o padrão
    O usuário pode sair dos padrões, mas, para a conversa realmente ser privada, os dois lados precisam fazer isso. Se houver esse nível de motivação, é melhor já usar o Signal

  • Faz sentido. Israel parece ter usado metadados do WhatsApp para mirar palestinos em Gaza: https://www.972mag.com/lavender-ai-israeli-army-gaza/
    Segundo o trecho citado, a solução é inteligência artificial, e o livro traz um guia curto para criar uma “máquina de alvos” semelhante ao Lavender, baseada em inteligência artificial e algoritmos de aprendizado de máquina
    Como exemplos das “centenas e milhares” de características que podem aumentar a pontuação de uma pessoa, estão estar no mesmo grupo de WhatsApp que militantes conhecidos, trocar de celular a cada poucos meses e mudar de endereço com frequência

  • Israel nem precisa que o WhatsApp esteja instalado
    A Unit 8200[1] das IDF provavelmente conseguiria invadir a maioria dos celulares do Irã e, se não conseguir, há empresas privadas de spyware como a NSO Group[2][3]
    [1] https://en.wikipedia.org/wiki/Unit_8200
    [2] https://en.wikipedia.org/wiki/NSO_Group
    [3] https://mepc.org/commentaries/israeli-cyber-companies-overvi...

    • Tive um colega do Irã que dizia que todos os computadores de lá rodavam a mesma cópia pirata do Windows XP traduzida para farsi. Fácil de explorar
    • Não sei como dá para enviar SMS “invisíveis” para a rede móvel de outro país sem ser detectado. Especialmente em grande escala
      Já fiz engenharia reversa de OMA DM, atualizações/acesso FOTA e binários que algumas operadoras dos EUA pré-instalam em celulares ou modems para acesso remoto
      Mesmo assim, acho difícil acreditar que seja possível tornar isso invisível para as operadoras de rede móvel do país-alvo
    • Acho que isso é uma desculpa usada pelo atual regime do Irã para impedir que iranianos coordenem um golpe
      “Coincidentemente”, o príncipe herdeiro legítimo no exílio, ou seja, uma figura da dinastia Pahlavi, está reaparecendo nas redes sociais e dizendo que o atual regime iraniano vai cair
      Há muita discussão online sobre como o regime atual está desmoronando, e muita gente ficaria feliz se aqueles homens barbudos que governam pela lei da sharia desaparecessem
      O que os fanáticos religiosos no topo daquele Estado islâmico menos querem é que os próprios iranianos aproveitem esta oportunidade para derrubar o regime
      O verdadeiro sentido de “apague o WhatsApp para não ajudar Israel a encontrar sua localização” está mais perto de “não compartilhe vídeos do príncipe herdeiro prometendo uma vida sem punições da sharia”
  • Há motivos para acreditar que muitos apps ocidentais têm backdoors, e países como o Irã podem receber backdoors específicos por meio das lojas de aplicativos.
    O mesmo vale para tecnologia automotiva e câmeras. Se você trabalha em uma agência de inteligência, é literalmente uma ferramenta dos sonhos, porque permite vigilância em tempo real nas ruas, algo que originalmente era extremamente difícil.
    Nem sei quantas vezes precisei de uma foto recente de uma rua ou casa a vários quilômetros de distância. Com câmeras veiculares de 360 graus, dá para rastrear pessoas e ver mudanças ocorridas há poucos minutos.
    Não entendo por que esses países não bloqueiam esses recursos ou exigem que sejam totalmente desativados.

    • Neste thread, é comum o sentimento de que “muitos apps ocidentais têm backdoors”.
      Tanto a intuição quanto a experiência prática me dizem que isso é verdade em alguma medida, mas fico curioso sobre como as pessoas distinguem teoria da conspiração de especulação legítima.
  • É surpreendente que a preocupação do regime iraniano esteja centrada na ideia de que o WhatsApp compartilha informações com Israel. É muito mais provável que o Mossad esteja usando vulnerabilidades zero-day do WhatsApp para obter informações, em vez de o WhatsApp compartilhá-las ativamente.

    • Considerando que “o Irã baniu o WhatsApp e o Google Play durante os grandes protestos antigoverno de 2022”, o que ele teme mais do que Israel é uma população com canais de comunicação criptografados que a polícia não consegue interceptar. Isso explica muita coisa.
    • É bem provável que estejam preocupados que ele se torne a plataforma escolhida para as pessoas se comunicarem durante uma revolução que Israel tenta incentivar publicamente.
    • Foi relatado várias vezes que, quando soldados russos envolvidos na SMO trocavam mensagens e fotos com suas famílias pelo WhatsApp, no dia seguinte essas informações, incluindo as fotos, chegavam ao quartel-general militar ucraniano. Dizem que depois também eram usadas para assediar as famílias dos soldados.
      Pode haver outro mecanismo. Por exemplo, Google Drive ou algum outro tipo de malware.
      Depois das revelações de Snowden em 2011, em um mundo em que NSA e CIA implantam bugs em tudo, de hardware a firmware, é difícil ter certeza.
  • Não sei se as alegações do Irã são verdadeiras, mas, sinceramente, sempre me senti inseguro sobre o que esses apps realmente registram. Criptografia de ponta a ponta é ótima, mas não protege metadados.
    O verdadeiro problema é que ainda estamos especulando. Existe alguém que possa falar sobre isso com real confiança?

    • Não. Quando a Meta está envolvida, ela provavelmente está lucrando de todas as formas possíveis.
      A propaganda de que o WhatsApp tem “criptografia de ponta a ponta” pode ser verdadeira, mas isso também significa que eles não fazem outras coisas boas que poderiam fazer pela privacidade e por uma experiência mais favorável ao consumidor.
  • Alguém que esteja no Irã pode falar sobre isso? Como os cidadãos locais veem o WhatsApp?

    • Sou iraniano. A maioria dos iranianos usa Telegram ou WhatsApp, e ambos estão bloqueados agora, só podendo ser usados com VPN.
      Eles estavam bloqueados havia anos, e o WhatsApp foi liberado há alguns meses, mas voltou a ser bloqueado depois do ataque israelense.
      Não acho que muitos iranianos acreditem ou se importem com o que o regime diz. Mas uma minoria de apoiadores do regime pode acreditar, embora provavelmente nem usasse WhatsApp para começo de conversa.
      Ainda assim, o próprio regime parece realmente acreditar nisso. Por exemplo, também houve notícias de que altos funcionários agora foram proibidos de usar dispositivos eletrônicos conectados à internet, como celulares.
    • Não sei bem, mas existem alternativas locais. O Irã tem um protocolo de bridge que federa vários serviços: https://en.wikipedia.org/wiki/Message_Exchange_Bus
  • Todas as principais plataformas de mídia social e mensagens foram comprometidas e são usadas como ferramentas de vigilância, então o governo iraniano não está completamente errado.

    • Não está errado, mas a Meta, em especial, tende a cooperar de forma excepcionalmente boa com pedidos de agentes estatais.
    • Em comparação com o nível necessário para derrubar as forças armadas, milícias e governo do Irã, Iraque e Gaza foram uma piada completa em termos de escala.
      Grande parte do terreno é semelhante ao do Afeganistão. Alianças islâmicas baseadas em tribos resistem bem à perda do governo central. Há também uma enorme fronteira montanhosa porosa com dois ou mais países que podem fazer vista grossa a determinados grupos armados islâmicos.
      Entendo que todo mundo queira engolir a ideia de superioridade aérea total e de uma campanha para derrubar a liderança, e queira acreditar que o WhatsApp pode separar o regime de 52 virgens. Mas isso é uma campanha de propaganda.
      A propaganda inicial serve apenas para fabricar consentimento por tempo suficiente até que os cidadãos estejam com os pés mergulhados em sangue e não possam mais voltar atrás. Estamos no processo de cair nessa.