){kind=link}
A criptografia do WhatsApp pode não ser tão segura quanto se pensa. Pesquisadores descobriram que o aplicativo salva mensagens expostas no dispositivo do usuário, mesmo depois do aplicativo usar criptografia para protegê-las no envio. O problema foi descoberto por especialistas em segurança do iOS da empresa Mysk. A falha afeta iPhones e computadores Mac que tenham o WhatsApp instalado.
Para entender o problema, é preciso saber o que é criptografia de ponta a ponta. Na prática, ela funciona como um envelope lacrado. A mensagem sai do celular de quem envia já dentro desse envelope, chega ao servidor do WhatsApp ainda fechada e só é aberta quando chega ao celular de quem recebe.
smart_display
Nossos vídeos em destaque
O problema é o que acontece depois que o envelope é aberto. Assim que a mensagem aparece na tela do usuário, ela precisa ser salva em algum lugar no dispositivo para que o histórico de conversas fique disponível. O que os pesquisadores descobriram é que, a partir daí, o WhatsApp armazena os dados sem criptografia adicional.
Como as mensagens ficam expostas no celular
O aplicativo salva todas as conversas em um arquivo de banco de dados chamado “Axolotl.sqlite”. Esse arquivo fica em uma pasta compartilhada do dispositivo identificada como “group.net.whatsapp.WhatsApp.shared”.
A pasta é chamada de “contêiner compartilhado”, um espaço no sistema operacional da Apple que pode ser acessado por aplicativos do mesmo desenvolvedor. Isso significa que outros apps da Meta, como Facebook e Instagram, poderiam, em teoria, ler esse banco de dados sem precisar de permissão explícita do usuário.
Esse comportamento não viola as regras de segurança da Apple, já que o sistema foi projetado para permitir esse tipo de compartilhamento entre aplicativos do mesmo desenvolvedor. O problema está no fato de o arquivo ser salvo sem criptografia, ou seja, em formato que pode ser lido diretamente.
)
Quais são os riscos concretos
A ausência de criptografia no armazenamento local cria diferentes tipos de risco. Se um dispositivo for comprometido por um malware ou por uma pessoa com acesso físico ao aparelho, o histórico completo de conversas pode ser extraído com relativa facilidade.
Em iPhones desbloqueados por técnicas que removem as restrições de software o acesso ao arquivo se torna ainda mais simples. Em computadores Mac, onde o sistema de arquivos é mais flexível, o risco também é considerado mais alto.
Além disso, aplicativos maliciosos que obtivessem as mesmas permissões de desenvolvedor poderiam usar esse mesmo caminho para acessar as mensagens. Profissionais de análise forense digital também poderiam extrair o conteúdo em investigações.
)
A Meta não foi acusada de usar esse acesso de forma ativa, mas a arquitetura técnica privilegia essa possibilidade.
O que a Apple faz para proteger esses dados
A Apple tem um sistema chamado Proteção de Dados, que pode criptografar arquivos com base no estado do dispositivo. Quando o iPhone está bloqueado, por exemplo, certos arquivos ficam protegidos.
O problema é que isso não garante que bancos de dados de aplicativos fiquem sempre inacessíveis a outros apps autorizados dentro do mesmo grupo de desenvolvedores. A proteção existe, mas tem limites que o WhatsApp não supera com criptografia própria.
)
O que fazer para reduzir o risco
Usuários preocupados com o problema podem adotar algumas medidas práticas. A mais básica é manter o dispositivo protegido com senha forte e biometria, como impressão digital ou reconhecimento facial.
Evitar instalar aplicativos desnecessários do mesmo ecossistema de desenvolvedores também ajuda a reduzir a superfície de ataque. Em ambientes corporativos, ferramentas de gerenciamento de dispositivos móveis, conhecidas pela sigla MDM, podem restringir permissões de aplicativos.
Manter o iOS, o macOS e o próprio WhatsApp sempre atualizados é outra medida importante, já que atualizações frequentemente corrigem brechas de segurança. Para contextos que exigem maior proteção, como jornalistas ou advogados, pode valer a pena avaliar alternativas de mensageria com modelos mais rígidos de criptografia em repouso.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.