CIÊNCIA & TECNOLOGIA
Nova legislação na Europa pode reduzir segurança do WhatsApp
Um grupo de especialistas se posicionou contra um novo conjunto de normas regulatórias em aprovação na Europa, alegando que elas podem entrar no caminho da maior segurança e privacidade disponíveis, principalmente, no WhatsApp. No centro da questão está o Ato de Mercados Digitais (DMA), que ainda tramita na União Europeia e firma regras para evitar o monopólio e abrir o mercado para empresas menores; a cláusula polêmica, aqui, é uma que obriga a interoperabilidade de aplicativos.
Segundo o DMA, que ainda precisa ser finalizado pelos legisladores e aprovado no Parlamento e no Conselho Europeu, grandes fornecedoras de apps precisarão abrir as portas para que soluções pequenas, padronizadas ou desenvolvidas por terceiros possam operar nas mesmas redes. Um exemplo possível é abrir o WhatsApp para envio de mensagens por SMS ou possibilitar que desenvolvedores independentes criem alternativas para o mensageiro, mesmo que a segurança seja prejudicada nesse processo.
É justamente nesse ponto que um grupo de especialistas se colocou contra a imposição, em uma reportagem do site The Verge. A ideia é que, na união de serviços com diferentes protocolos de segurança, o mais baixo denominador comum é o que vai acabar valendo, com essa interoperabilidade acabando por reduzir o nível de segurança do WhatsApp e, efetivamente, acabando com a criptografia de ponta a ponta que é um dos diferenciais da atuação do mensageiro no mercado.
O DMA oferece alternativas para esse tipo de junção, como o trabalho conjunto entre empresas de diferentes níveis em busca de um protocolo comum ou o uso de criptografia a cada etapa da comunicação, com uma mensagem, por exemplo, sendo tratada diversas vezes por sistemas diferentes. É um caminho indesejado, também, já que além de aumentar a carga de processamento, também abre as portas para interceptações e ataques de man-in-the-middle durante esse processo.
O especialista e ex-engenheiro do Facebook Alec Muffett compara a proposta a um cliente que, em prol da interoperabilidade entre restaurantes, peça sushi em um McDonald’s. A cozinha não está preparada para isso e, caso a lanchonete fizesse o pedido por delivery, ela poderia servir tal prato, sem ter garantias de procedência? Acima de tudo, deveria a empresa assumir o ônus por eventuais falhas nos processos de terceiros?
Para o professor de ciências da computação da Universidade de Columbia, Steven Bellovin, a proposta simplesmente não é possível. Acima disso, ainda reverteria importantes avanços feitos ao longo dos anos — e com ampla resistência — no campo da privacidade e segurança das comunicações. Na visão dele, é inevitável: para garantir essa conexão entre plataformas, um dos lados terá que fazer mudanças drásticas e, invariavelmente, isso vai implicar em uma redução do nível de proteção.
Os especialistas ainda apontam a questão do gerenciamento de identidade, com a união entre apps fazendo com que a criptografia de ponta a ponta deixe de existir a partir do momento em que todos os sistemas tratem os usuários como “iguais” entre plataformas. No final das contas, a segurança só é tão forte quanto seu elo mais fraco e, com a proposta do DMA, se abrem diferentes portas para ataques e explorações.
Maior abertura de mercado
Existem, entretanto, especialistas favoráveis à proposta de interoperabilidade, alegando que a criação de padrões criptográficos e a abertura dos chamados “jardins fechados” de hoje ultrapassam as perdas geradas pela impossibilidade no uso da criptografia de ponta a ponta. Eles criticam, inclusive, esse mesmo conceito, afirmando que a segurança é, muitas vezes, usada como uma forma de fazer com que os usuários se mantenham dependentes de um determinado serviço.
É o que fala Matthew Hodgson, co-fundador do Matrix, projeto que desenvolve um sistema seguro e de código aberto que permitiria, justamente, a conexão imaginada pela legislação europeia. Para ele, a criação de monopólios é uma insistência das grandes empresas por motivos mercadológicos e, justamente por isso, a interoperabilidade acaba sendo dispensada antes mesmo de estudada como opção.
Enquanto as discussões prosseguem, a tramitação do DMA também vai adiante. Originalmente, a ideia da União Europeia era de começar a implementar as novas regras até outubro deste ano, mas entre diferentes mudanças e revisões de textos, além da necessidade de novas autorizações, não há expectativa de aplicação antes de 2023.
Fonte: The Verge