Mesmo após um ano da descoberta de uma vulnerabilidade no WhatsApp, que permitia a manipulação de mensagens, o Facebook, dono do aplicativo que é utilizado por mais de 1,5 bilhão de pessoas, ainda não conseguiu solucionar essa questão.
Segundo pesquisadores da empresa israelense de segurança cibernética Checkpoint Research, as falhas tornariam possível “interceptar e manipular mensagens enviadas em conversas privadas e em grupo, dando aos invasores o poder de criar e disseminar informações errôneas do que parecem ser fontes confiáveis”. Eles destacaram três problemas bem graves: manipulação de mensagens para parecer que alguém escreveu algo que não existia antes; modificação da resposta de um usuário, fazendo com que pareça que o próprio a escreveu e um truque que envia uma mensagem privada a outros grupos públicos.
Os pesquisadores disseram que alertaram o WhatsApp sobre as falhas em agosto do ano passado e que a empresa abordou apenas uma das três vunerabilidades destacadas. Mas eles acrescentaram, também, que os outros dois permanecem exploráveis até hoje e podem ser potencialmente usados de maneira maliciosa pelos cibercriminosos.
–
Siga o Canaltech no Twitter e seja o primeiro a saber tudo o que acontece no mundo da tecnologia.
–
Quando a notícia da vulnerabilidade surgiu no ano passado, a empresa disse que fazer as mudanças sugeridas pela Checkpoint forçaria o WhatsApp a registrar todas as mensagens e que não estava pronta para fazer isso por razões de privacidade.
Empresa mostrou na prática
Como é do conhecimento de todos, o WhatsApp é extremamente popular, não apenas por ser um mensageiro, mas também por ser utilizado para a propagação de notícias, vídeos e demais mídias. Para complicar ainda mais o problema, todas as comunicações do WhatsApp possuem criptografia ponta a ponta, o que torna mais difícil para ele – ou mesmo para as agências de segurança – monitorar e verificar a autenticidade das mensagens.
O Burp Suit Extension, da Checkpoint, conseguiu quebrar essa barreira de criptografia para visualizar mensagens de bate-papo e, portanto, torná-las abertas à manipulação. Para conseguir isso, os pesquisadores usaram o WhatsApp Web, que permite aos usuários emparelhar seu telefone usando um QR Code.
Ao obter as chaves privada e pública criadas antes de o QR Code ser gerado – além do parâmetro “secreto” enviado pelo telefone celular ao WhatsApp Web enquanto o usuário escaneia o código – a extensão facilita o monitoramento e a descriptografia das comunicações durante este processo.
Assim, tudo indica que, para explorar a vulnerabilidade, o invasor precisará conectar seu dispositivo móvel à extensão (veja o vídeo acima) para poder consumar o ataque.
Como isso impacta o usuário?
Uma vez que o tráfego da web – contendo inúmeros detalhes do participante, a conversa real e uma identificação única – é capturado, os pesquisadores disseram que as falhas permitiram falsificar respostas durante as conversas, alterar o conteúdo da mensagem e até mesmo “manipular o chat, enviando uma mensagem de volta ao remetente em nome da outra pessoa, como se tivesse vindo deles”.
Com o WhatsApp se tornando uma grande plataforma de distribuição de notícias, muitas delas fake news, a exploração pode ter sérias implicações, pois prejudica a confiança do usuário no app, já que coloca a integridade das mensagens em questão.
O Facebook, por sua vez, comunicou aos pesquisadores que os outros dois problemas não poderiam ser resolvidos devido a “limitações de infraestrutura” no WhatsApp. Atualmente, há rumores de que o serviço de mensagens está trabalhando em uma versão de desktop autônoma, o que, se for verdade, pode limitar a extensão em que essas falhas poderiam ser aproveitadas.
Trending no Canaltech:
- A Lua agora pode ser lar dos tardígrados, os animais mais resistentes da Terra
- Cientistas descobrem como tornar Marte habitável para seres humanos
- Descoberta de 39 galáxias anciãs pode mudar nossa compreensão sobre o Universo
- Marcos Pontes e Bolsonaro divergem sobre privatização dos Correios
- Rocket Lab entra no ramo de foguetes reutilizáveis, mas com método bem diferente
Fonte: Canaltech