Como uma falha de segurança do WhatsApp pode bloquear a sua conta

Em mais uma daquelas notícias que mostram que nem todo aplicativo é perfeito em sua segurança, a notícia que circula é sobre como uma falha de segurança identificada no WhatsApp – e que o aplicativo parece não fazer questão nenhuma de resolver – consegue bloquear a conta de um usuário.

A informação foi divulgada pela Forbes, e apesar da matéria estar em inglês, basta traduzir a matéria para entender como o sistema de verificação e suporte do WhatsApp é falho demais. Essa brecha foi identificada pelos pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña.

Qualquer um que tenha o seu número de telefone pode explorar essa brecha. O problema todo reside aí e caracteriza uma vulnerabilidade explícita, ou seja, uma falha tão simples – só para não dizer grosseira – quanto grave.

Toda falha começa numa brecha

Para começar a entender a falha, você deve saber que após você instalar o WhatsApp, você configura o seu número de telefone no aplicativo e verifica a autenticidade – ou seja, que aquele telefone é seu e você está configurando a conta nele – através de SMS.

E esse é o único modo de verificar um número de telefone por lá. Não há outro, eles não pedem e-mail para isso, nenhum outro tipo de verificação, só SMS e ligação única e exclusivamente para o número de telefone. Como você já fez isso quando instalou o WhatsApp, é aí que mora o problema, principalmente quando sua única identificação é o número de telefone e não há nenhum outro meio adicional.

É tanta facilidade que facilita demais a vida. De pessoas mal-intencionadas.

Invasor, não hacker

Antes de iniciar a explicação, você vai notar que eu não vou usar a palavra hacker para definir o invasor, porque a intenção de um hacker não é invadir sistemas. Quem faz isso, ou seja, um criminoso virtual, é um cracker.

Um hacker descobre falhas, alerta aos desenvolvedores, faz coisas além do conhecimento do sistema. Portanto, não confunda hackers com crackers, esses sim usam seu conhecimento para invadir sistemas e cometer crimes virtuais.

É exatamente um exemplo disso que vou mostrar; a intenção aqui é chamar a atenção dos desenvolvedores para a correção de uma falha.

O sistema é falho – e gente mal-intencionada sabe disso

Como o número já está no seu dispositivo, qualquer outro dispositivo com outro número de telefone não conseguiria configurar o seu número através do SMS. Não a menos que uma pessoa mal-intencionada encha o seu saco.

O invasor então insere o número do seu telefone no dispositivo dele e tenta configurar através do SMS, que você recebe no seu dispositivo. Mas ele vai fazer isso várias vezes! Tantas até que o seu WhatsApp fique bloqueado por “questões de segurança” por até 12 horas.

Prints do WhatsApp mostrando a verificação do número do telefone. Fim da descrição.
A entrada do código incorreto leva a uma espera de 12 horas no telefone do invasor (sequência encurtada). Imagem: Reprodução/Forbes

Sistema de verificação falho, suporte idem

Aí você se pergunta: o invasor esperaria 12 horas para enviar um novo código? Pois bem, eis que entra em cena ele: o pulo do gato. E esse pulo do gato conta com uma mãozinha do WhatsApp em mais uma falha facilmente explorada pelos pesquisadores.

É nesse momento o invasor explora a falha máxima: ele vai enviar um e-mail para o suporte do WhatsApp dizendo que perdeu o dispositivo e precisa desativar o aplicativo lá. E o WhatsApp aceita e desativa a conta sem critério nenhum, já que o suporte por e-mail não prevê nenhuma verificação de identidade.

Isso porque você só configura o número de telefone lá, sem nenhuma outra alternativa de contato – como um e-mail verificado. O WhatsApp exige e-mail apenas para resetar o código de verificação de duas etapas, mas não para verificar o suporte e confirmar que aquele e-mail está associado a aquele telefone, ou seja, o sistema automatizado do WhatsApp aceita qualquer mensagem sem verificar.

Mole, mole…

O outro detalhe é que esse suporte não faz nenhum tipo de verificação para saber se a mensagem parte do verdadeiro dono do número, como por exemplo, perguntas que só o dono saberia responder. Você só diz que deu problema, perdeu o celular, teve o telefone roubado, só isso. Eles desativam só de você comunicar, ou melhor, qualquer um. É mole.

Foto de dois telefones mostrando exploração de brecha do WhatsApp. Fim da descrição.
Imagens Reprodução/Forbes

Desse jeito, o número fica inutilizado, e isso pode ser problemático para contas corporativas, por exemplo. Imagine o estrago que isso faz em um telefone usado para vendas. Prejuízo grande.

O Facebook não dá sinais de que vai corrigir a falha

O Facebook não deu sinal de quando implementará uma correção para essa brecha, porém a sugestão mais óbvia é essa da associação a um e-mail válido. O número de telefone numa situação dessas não basta, afinal é preciso um endereço de verificação adicional.

Essa é uma das falhas mais inacreditáveis do WhatsApp. Tão inacreditável quanto a falha é o entendimento de que o WhatsApp não pareça fazer nada para resolver, porque é tão simples na mesma proporção que é grave. E essa é uma falha que nem a verificação de duas etapas pode solucionar, porém esse modo impede o invasor de agir. Portanto, a verificação de duas etapas ainda é o meio mais seguro de proteger a sua conta.

E o suporte do e-mail é um problema que já havia sido explorado outras vezes por conta da facilidade até demais desse suporte. Não que ele possa ser difícil. Nada disso. O que se espera é que esses transtornos sejam minimizados e toda brecha identificada seja corrigida a fim de evitar maiores problemas. Principalmente para quem depende do WhatsApp para o trabalho.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Como arquivar conversas no WhatsApp Contando stories de um novo jeito Recursos que estão chegando no WhatsApp Recursos de segurança do Instagram Bug da câmera do WhatsApp resolvido Backups mais seguros no WhatsApp WhatsApp em quatro dispositivos O bug da câmera do WhatsApp Fotos em alta qualidade no WhatsApp?! O Instagram não é mais uma rede social de fotos?! Como ganhar dinheiro no TikTok Mídias autodestrutivas no WhatsApp?!