Em mais uma daquelas notícias que mostram que nem todo aplicativo é perfeito em sua segurança, a notícia que circula é sobre como uma falha de segurança identificada no WhatsApp – e que o aplicativo parece não fazer questão nenhuma de resolver – consegue bloquear a conta de um usuário.

A informação foi divulgada pela Forbes, e apesar da matéria estar em inglês, basta traduzir a matéria para entender como o sistema de verificação e suporte do WhatsApp é falho demais. Essa brecha foi identificada pelos pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña.

Qualquer um que tenha o seu número de telefone pode explorar essa brecha. O problema todo reside aí e caracteriza uma vulnerabilidade explícita, ou seja, uma falha tão simples – só para não dizer grosseira – quanto grave.

Toda falha começa numa brecha

Para começar a entender a falha, você deve saber que após você instalar o WhatsApp, você configura o seu número de telefone no aplicativo e verifica a autenticidade – ou seja, que aquele telefone é seu e você está configurando a conta nele – através de SMS.

E esse é o único modo de verificar um número de telefone por lá. Não há outro, eles não pedem e-mail para isso, nenhum outro tipo de verificação, só SMS e ligação única e exclusivamente para o número de telefone. Como você já fez isso quando instalou o WhatsApp, é aí que mora o problema, principalmente quando sua única identificação é o número de telefone e não há nenhum outro meio adicional.

É tanta facilidade que facilita demais a vida. De pessoas mal-intencionadas.

Invasor, não hacker

Antes de iniciar a explicação, você vai notar que eu não vou usar a palavra hacker para definir o invasor, porque a intenção de um hacker não é invadir sistemas. Quem faz isso, ou seja, um criminoso virtual, é um cracker.

Um hacker descobre falhas, alerta aos desenvolvedores, faz coisas além do conhecimento do sistema. Portanto, não confunda hackers com crackers, esses sim usam seu conhecimento para invadir sistemas e cometer crimes virtuais.

É exatamente um exemplo disso que vou mostrar; a intenção aqui é chamar a atenção dos desenvolvedores para a correção de uma falha.

O sistema é falho – e gente mal-intencionada sabe disso

Como o número já está no seu dispositivo, qualquer outro dispositivo com outro número de telefone não conseguiria configurar o seu número através do SMS. Não a menos que uma pessoa mal-intencionada encha o seu saco.

O invasor então insere o número do seu telefone no dispositivo dele e tenta configurar através do SMS, que você recebe no seu dispositivo. Mas ele vai fazer isso várias vezes! Tantas até que o seu WhatsApp fique bloqueado por “questões de segurança” por até 12 horas.

Prints do WhatsApp mostrando a verificação do número do telefone. Fim da descrição. — A entrada do código incorreto leva a uma espera de 12 horas no telefone do invasor (sequência encurtada). Imagem: Reprodução/Forbes

Sistema de verificação falho, suporte idem

Aí você se pergunta: o invasor esperaria 12 horas para enviar um novo código? Pois bem, eis que entra em cena ele: o pulo do gato. E esse pulo do gato conta com uma mãozinha do WhatsApp em mais uma falha facilmente explorada pelos pesquisadores.

É nesse momento o invasor explora a falha máxima: ele vai enviar um e-mail para o suporte do WhatsApp dizendo que perdeu o dispositivo e precisa desativar o aplicativo lá. E o WhatsApp aceita e desativa a conta sem critério nenhum, já que o suporte por e-mail não prevê nenhuma verificação de identidade.

O invasor envia um e-mail para o suporte do WhatsApp dizendo que perdeu o telefone ou teve o telefone roubado. Imagem: Reprodução/Forbes
O WhatsApp envia uma resposta automatizada a esse e-mail. Imagem: Reprodução/Forbes
O WhatsApp desativa a conta no telefone onde o número realmente está instalado. Aí mora o problema. Imagem: Reprodução/Forbes

Isso porque você só configura o número de telefone lá, sem nenhuma outra alternativa de contato – como um e-mail verificado. O WhatsApp exige e-mail apenas para resetar o código de verificação de duas etapas, mas não para verificar o suporte e confirmar que aquele e-mail está associado a aquele telefone, ou seja, o sistema automatizado do WhatsApp aceita qualquer mensagem sem verificar.

Mole, mole…

O outro detalhe é que esse suporte não faz nenhum tipo de verificação para saber se a mensagem parte do verdadeiro dono do número, como por exemplo, perguntas que só o dono saberia responder. Você só diz que deu problema, perdeu o celular, teve o telefone roubado, só isso. Eles desativam só de você comunicar, ou melhor, qualquer um. É mole.

Foto de dois telefones mostrando exploração de brecha do WhatsApp. Fim da descrição. — Imagens Reprodução/Forbes

Desse jeito, o número fica inutilizado, e isso pode ser problemático para contas corporativas, por exemplo. Imagine o estrago que isso faz em um telefone usado para vendas. Prejuízo grande.

O Facebook não dá sinais de que vai corrigir a falha

O Facebook não deu sinal de quando implementará uma correção para essa brecha, porém a sugestão mais óbvia é essa da associação a um e-mail válido. O número de telefone numa situação dessas não basta, afinal é preciso um endereço de verificação adicional.

Essa é uma das falhas mais inacreditáveis do WhatsApp. Tão inacreditável quanto a falha é o entendimento de que o WhatsApp não pareça fazer nada para resolver, porque é tão simples na mesma proporção que é grave. E essa é uma falha que nem a verificação de duas etapas pode solucionar, porém esse modo impede o invasor de agir. Portanto, a verificação de duas etapas ainda é o meio mais seguro de proteger a sua conta.

E o suporte do e-mail é um problema que já havia sido explorado outras vezes por conta da facilidade até demais desse suporte. Não que ele possa ser difícil. Nada disso. O que se espera é que esses transtornos sejam minimizados e toda brecha identificada seja corrigida a fim de evitar maiores problemas. Principalmente para quem depende do WhatsApp para o trabalho.