Fraudes envolvendo o WhatsApp são antigas e mesmo que você ative todas as opções de privacidade do mensageiro, há uma forma recém descoberta chamada “Click to Chat” em você mesmo pode ter autorizado a exposição do seu número à golpes, campanhas indesejadas e spam, o tornando fácil de ser encontrado nos resultados de pesquisa do Google por qualquer pessoa.
- Malware para Android mira usuários do WhatsApp e Facebook Messenger
- WhatsApp é alvo de novo golpe de engenharia social para roubo de contas
De acordo com o caçador de recompensas Athul Jayaram, que descobriu a vulnerabilidade, muitas contas comerciais e de profissionais que utilizam o aplicativo de mensagens como ferramenta de comunicação anexam links ou um QR Code em paginas de divulgação para tornar o contato com o cliente mais rápido, uma vez que apenas clicando ou apontando a câmera é possível abrir a conversa no mensageiro.
A questão é que, ao utilizar tais métodos, mecanismos de pesquisa como Google e Bing conseguem indexar os metadados do link, que geralmente contém o número do WhatsApp em parte do string da URL como no exemplo: “https://wa.me/”úmero>.
–
Podcast Porta 101: a equipe do Canaltech discute quinzenalmente assuntos relevantes, curiosos, e muitas vezes polêmicos, relacionados ao mundo da tecnologia, internet e inovação. Não deixe de acompanhar.
–
“Seu número de celular está visível em texto simples neste URL, e qualquer pessoa que se apossar dele pode saber seu número de celular. Você não pode revogá-lo”, revela Jayaram em entrevista ao site Threatpost, na última sexta-feira (5).
De acordo com a publicação, o domínio “wa.me” pertence ao WhatsApp e seu registro foi encontrado no WHOIS, uma plataforma para a consulta de domínios na internet. Nos testes feitos aqui pelo Canaltech, ao completar o endereço citado anteriormente com um número pessoal, a página foi redirecionada ao WhatsApp, porém sem sucesso na tentativa de contato.
Facebook nega falha de segurança
Ao identificar o problema no final de maio, Jayaram entrou em contato com o Facebook, que controla o WhatsApp desde 2014, para receber a sua recompensa. A companhia, no entanto, alegou que o mensageiro não faz parte do seu programa de recompensas. Posteriormente, em nota divulgada ao Threatpost, um porta-voz da empresa disse o seguinte:
“Apesar de apreciarmos o relatório deste pesquisador e valorizarmos o tempo que ele levou para compartilhá-lo conosco, ele não se qualificou para receber uma recompensa, uma vez que apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar público”.
O Facebook alerta ainda que “todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão” como a melhor forma de evitar que seus números de telefone cadastrados no mensageiro sejam expostos na internet.
Fonte: Canaltech
