Índice
Há cerca de 1 ano foram descobertas brechas de segurança no mensageiro mais popular do mundo, o WhatsApp.
Agora, para verificar se as falhas foram corrigidas, pesquisadores do Check Point Research utilizaram o antigo método de invasão e, surpreendentemente, conseguiram driblar a segurança do aplicativo.
Os problemas não foram corrigidos e ainda são bastante graves. Além do fato de o WhatsApp ser utilizado por mais de 1,5 bilhão de pessoas, é uma forma de comunicação entre grupos de trabalho, pelo qual são enviadas mensagens de fontes confiáveis, que, se falsificadas, podem criar problemas.
As brechas divulgadas pelos pesquisadores no ano passado foram:
- Usar aspas em um grupo a fim de mudar a identidade de um remetente mesmo que a pessoa não esteja no grupo;
- Enviar uma mensagem pública “disfarçada” de mensagem privada para um participante de um grupo e a resposta ser enviada em um grupo.
Somente a última citada foi corrigida pelo WhatsApp. As outras, igualmente perigosas, foram replicadas pelos pesquisadores com sucesso. No vídeo a seguir é possível ver uma aplicação perigosa dessa vulnerabilidade, em que um chefe tem suas palavras alteradas pelo atacante, tendo sua resposta sobre o aumento adulterada favorecendo o funcionário.
O site mostra em detalhes como as brechas foram descobertas e expostas, além de aplicações das outras falhas divulgadas.
O Facebook se pronunciou
Depois de ser novamente notificado, o Facebook alegou que “limitações da infraestrutura” do WhatsApp impedem a correção das vulnerabilidades e afirma que, na época da primeira denúncia, estudou com cuidado as falhas e suas possíveis soluções.
Além disso, um porta-voz da rede social alerta que algumas das formas de contornar o problema relatado pelos pesquisadores, como registrar a origem das mensagens ou outros dados, diminuirá a privacidade do aplicativo, dando mais poder à companhia sobre as conversas dos usuários.
No último dia 5, outra vulnerabilidade foi divulgada. Coincidentemente, fere a privacidade, fazendo que que supostamente mensagens privadas fossem destinadas para um servidor próprio da companhia além do dispositivo do destinatário.
