Em mais uma daquelas notícias que mostram que nem todo aplicativo é perfeito em sua segurança, a notícia que circula é sobre como uma falha de segurança identificada no WhatsApp – e que o aplicativo parece não fazer questão nenhuma de resolver – consegue bloquear a conta de um usuário.
A informação foi divulgada pela Forbes, e apesar da matéria estar em inglês, basta traduzir a matéria para entender como o sistema de verificação e suporte do WhatsApp é falho demais. Essa brecha foi identificada pelos pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña.
Qualquer um que tenha o seu número de telefone pode explorar essa brecha. O problema todo reside aí e caracteriza uma vulnerabilidade explícita, ou seja, uma falha tão simples – só para não dizer grosseira – quanto grave.
Toda falha começa numa brecha
Para começar a entender a falha, você deve saber que após você instalar o WhatsApp, você configura o seu número de telefone no aplicativo e verifica a autenticidade – ou seja, que aquele telefone é seu e você está configurando a conta nele – através de SMS.
E esse é o único modo de verificar um número de telefone por lá. Não há outro, eles não pedem e-mail para isso, nenhum outro tipo de verificação, só SMS e ligação única e exclusivamente para o número de telefone. Como você já fez isso quando instalou o WhatsApp, é aí que mora o problema, principalmente quando sua única identificação é o número de telefone e não há nenhum outro meio adicional.
É tanta facilidade que facilita demais a vida. De pessoas mal-intencionadas.
Invasor, não hacker
Antes de iniciar a explicação, você vai notar que eu não vou usar a palavra hacker para definir o invasor, porque a intenção de um hacker não é invadir sistemas. Quem faz isso, ou seja, um criminoso virtual, é um cracker.
Um hacker descobre falhas, alerta aos desenvolvedores, faz coisas além do conhecimento do sistema. Portanto, não confunda hackers com crackers, esses sim usam seu conhecimento para invadir sistemas e cometer crimes virtuais.
É exatamente um exemplo disso que vou mostrar; a intenção aqui é chamar a atenção dos desenvolvedores para a correção de uma falha.
O sistema é falho – e gente mal-intencionada sabe disso
Como o número já está no seu dispositivo, qualquer outro dispositivo com outro número de telefone não conseguiria configurar o seu número através do SMS. Não a menos que uma pessoa mal-intencionada encha o seu saco.
O invasor então insere o número do seu telefone no dispositivo dele e tenta configurar através do SMS, que você recebe no seu dispositivo. Mas ele vai fazer isso várias vezes! Tantas até que o seu WhatsApp fique bloqueado por “questões de segurança” por até 12 horas.

Sistema de verificação falho, suporte idem
Aí você se pergunta: o invasor esperaria 12 horas para enviar um novo código? Pois bem, eis que entra em cena ele: o pulo do gato. E esse pulo do gato conta com uma mãozinha do WhatsApp em mais uma falha facilmente explorada pelos pesquisadores.
É nesse momento o invasor explora a falha máxima: ele vai enviar um e-mail para o suporte do WhatsApp dizendo que perdeu o dispositivo e precisa desativar o aplicativo lá. E o WhatsApp aceita e desativa a conta sem critério nenhum, já que o suporte por e-mail não prevê nenhuma verificação de identidade.
Isso porque você só configura o número de telefone lá, sem nenhuma outra alternativa de contato – como um e-mail verificado. O WhatsApp exige e-mail apenas para resetar o código de verificação de duas etapas, mas não para verificar o suporte e confirmar que aquele e-mail está associado a aquele telefone, ou seja, o sistema automatizado do WhatsApp aceita qualquer mensagem sem verificar.
Mole, mole…
O outro detalhe é que esse suporte não faz nenhum tipo de verificação para saber se a mensagem parte do verdadeiro dono do número, como por exemplo, perguntas que só o dono saberia responder. Você só diz que deu problema, perdeu o celular, teve o telefone roubado, só isso. Eles desativam só de você comunicar, ou melhor, qualquer um. É mole.

Desse jeito, o número fica inutilizado, e isso pode ser problemático para contas corporativas, por exemplo. Imagine o estrago que isso faz em um telefone usado para vendas. Prejuízo grande.
O Facebook não dá sinais de que vai corrigir a falha
O Facebook não deu sinal de quando implementará uma correção para essa brecha, porém a sugestão mais óbvia é essa da associação a um e-mail válido. O número de telefone numa situação dessas não basta, afinal é preciso um endereço de verificação adicional.
Essa é uma das falhas mais inacreditáveis do WhatsApp. Tão inacreditável quanto a falha é o entendimento de que o WhatsApp não pareça fazer nada para resolver, porque é tão simples na mesma proporção que é grave. E essa é uma falha que nem a verificação de duas etapas pode solucionar, porém esse modo impede o invasor de agir. Portanto, a verificação de duas etapas ainda é o meio mais seguro de proteger a sua conta.
E o suporte do e-mail é um problema que já havia sido explorado outras vezes por conta da facilidade até demais desse suporte. Não que ele possa ser difícil. Nada disso. O que se espera é que esses transtornos sejam minimizados e toda brecha identificada seja corrigida a fim de evitar maiores problemas. Principalmente para quem depende do WhatsApp para o trabalho.