Gadgetshowto
O aplicativo de mensagens mais popular do mundo pode alegar ser uma fortaleza ultra-segura, mas talvez precise repensar depois que uma falha crítica de segurança do WhatsApp foi exposta.
Pesquisadores de segurança da Ruhr University Bochum, Alemanha, descobriram uma série de vulnerabilidades de segurança em aplicativos de mensagens criptografadas, como WhatsApp, Signal e Threema. A equipe revelou suas descobertas na conferência de segurança Real World Crypto quarta-feira em Zurique esta semana. Embora todos os três aplicativos mencionados acima sejam afetados por uma ou outra vulnerabilidade, o que afeta o WhatsApp parece ser o mais sério.
De acordo com os pesquisadores, uma falha de design inerente no aplicativo de bate-papo do Facebook permite que qualquer pessoa no controle dos servidores do WhatsApp insira novas pessoas em bate-papos em grupos privados sem precisar da permissão do administrador, apesar das promessas de criptografia de ponta a ponta.
Embora cada membro do grupo ainda receba notificações sobre um novo membro ingressando no grupo, a equipe da Ruhr University diz que um hacker inteligente no controle dos servidores do WhatsApp pode usar algumas soluções alternativas para evitar, ou pelo menos atrasar, a detecção.
Resposta do WhatsApp
Embora o WhatsApp tenha admitido as descobertas dos pesquisadores, um porta-voz da empresa em uma conversa telefônica com a Wired, ainda insistiu que notificações serão enviadas a cada membro existente sobre qualquer novo participante de um grupo. “Nós construímos o WhatsApp para que mensagens em grupo não possam ser enviadas para um usuário oculto”, o relatório citou um porta-voz dizendo por e-mail, sobre a falha de segurança do WhatsApp.
Enquanto isso, o diretor de segurança do Facebook, Alex Stamos, descartou as descobertas com um tweet público.
https://twitter.com/alexstamos/status/951169174688026625
Explicando a falha de segurança do WhatsApp
Os problemas surgem devido à extensão em que um invasor em potencial pode explorar essa falha de segurança do WhatsApp. Eles podem bloquear mensagens de administradores ou outros membros que podem estar tentando alertar a todos sobre os novos participantes, armazenando mensagens em cache e, em seguida, deixando algumas passarem seletivamente. Um servidor WhatsApp comprometido também permitirá que o hacker decida qual mensagem será enviada para quem, independentemente dos destinatários pretendidos.
O processo fica um pouco mais difícil em grupos com vários administradores, onde, para parecerem participantes legítimos de um grupo, o intermediário precisa enviar mensagens diferentes para cada administrador, fazendo com que pareça que outro havia convidado eles para o grupo. O que é igualmente alarmante é a alegação de que, mesmo depois de ser visto como um convidado indesejado, o hacker pode evitar sua expulsão do grupo.
