A crescente preocupação com a privacidade no uso de aplicativos de mensagens, como WhatsApp e Signal, voltou a ganhar destaque com uma nova pesquisa publicada por acadêmicos da Universidade de Viena e do SBA Research. Embora o cifrado de extremo a extremo ainda proteja o conteúdo das mensagens, os metadados deixados pelas interações dentro dos aplicativos revelam uma vulnerabilidade significativa.
A situação se agravou com a divulgação de um “proof of concept” (PoC) no GitHub, que demonstra como é possível inferir o estado de um dispositivo — se está ativo, em repouso ou offline — por meio da medição do tempo de ida e volta (RTT) das confirmações de entrega. O estudo ressalta que a verdadeira ameaça não reside em “ler mensagens”, mas em reconstruir padrões de comportamento, como horários, rotinas e janelas de atividade dos usuários.
Ao contrário da popular percepção de que a privacidade é comprometida apenas pelo “dobro check azul” que indica que uma mensagem foi lida, a pesquisa aponta que as confirmações de entrega são o vetor mais suscetível. Ao manipular interações que geram essas confirmações “silenciosas”, um atacante pode monitorar um usuário sem que este perceba qualquer notificação, usando variações de milissegundos como um sinal para classificar o estado do dispositivo.
A automatização desse tipo de ataque é uma preocupação crescente, uma vez que, conhecendo apenas o número de telefone da vítima, um invasor poderia realizar uma vigilância sistemática. Isso levanta questões sérias sobre possíveis usos indevidos, incluindo stalking e controle coercitivo, mesmo sem o acesso à conta da vítima.
Alternativas para mitigar essas ameaças foram discutidas, mas as plataformas ainda não apresentaram soluções concretas para os usuários. Enquanto o WhatsApp sugere bloquear mensagens em massa de números desconhecidos, a eficácia dessas medidas é questionável. Para a Signal, não há uma solução direta destacada.
Para os usuários, as recomendações incluem desativar recibos de leitura para aumentar a privacidade, embora isso não resolva completamente o problema dos metadados. Já para organizações, a abordagem deve incluir uma formação sobre metadados e a conscientização de que a segurança moderna envolve não apenas o conteúdo das mensagens, mas também os sinais que os usuários emitem sem querer.
As implicações dessa pesquisa reforçam a necessidade urgente de mudar o design das plataformas de mensagens, aplicando limitações de taxa e introduzindo medidas que dificultem a exploração desses metadados. A segurança dos usuários depende não apenas de suas práticas individuais, mas também do aprimoramento contínuo das tecnologias que usam.
