Falha de segurança do WhatsApp deixa intruso entrar em grupo sem ninguém saber
Uma matéria publicada pelo site da revista norte-americana Wired, especializada em tecnologia, colocou uma pulga atrás da orelha de todas as pessoas que usam grupos de WhatsApp para se comunicar.
De acordo com a publicação, um grupo de pesquisadores da Ruhr University Bochum, da Alemanha, encontrou uma falha de segurança séria no aplicativo.
Qualquer pessoa que controla os servidores do WhatsApp, segundo o artigo científico, pode colocar usuários intrusos em um grupo de conversa sem que o administrador ou qualquer outro membro saiba.
Falha de segurança no WhatsApp: intruso no grupo
A falha de segurança no WhatsApp prevê que qualquer pessoa que controle o servidor do aplicativo - um funcionário ou hackers que consigam encontrar brechas no sistema - consiga incluir um perfil intruso nos grupos de conversa.
A inclusão sequer precisa ser autorizada pelo administrador do grupo e, uma vez que o "membro não convidado" entre na conversa, ele poderia manipular o servidor para que sua presença seja detectada mais tardiamente.
"A confidencialidade do grupo está quebrada assim que o membro não convidado pode obter todas as novas mensagens e lê-las", disse Paul Rösler, um dos pesquisadores à revista Wired.
Como funcionaria
A análise dos pesquisadores alemães mostra que o ataque aos grupos no aplicativo vem de um simples erro.
De acordo com o artigo, quando um administrador chama um novo membro para o grupo, não há nenhum mecanismo de autenticação interno para esse convite.
De fato, nem administrador nem convidado precisam autorizar a inclusão na conversa. Apesar disso, mesmo em uma entrada "ilícita", os membros do grupo seriam avisados que mais alguém foi adicionado.
Acontece que, para os pesquisadores da Universidade de Ruhr, quem consegue furar esse bloqueio, também consegue usar truques para atrasar a detecção.
"Um vez que o invasor com controle do servidor WhatsApp teve acesso à conversa, ele também pode usar o servidor para bloquear seletivamente todas as mensagens do grupo, incluindo aquelas que fazem perguntas ou fornecem avisos sobre o novo participante", detalham, considerando que, apesar de possível, esse tipo de ataque é pouco provável pelo nível de sofisticação da medida.
O que diz o WhatsApp
Em nota, o WhatsApp disse que a segurança no envio de mensagens nos grupos é vista "com cuidado" pela empresa.
“Nós checamos essa questão com cuidado. Membros existentes são notificados quando novas pessoas são adicionadas a um grupo de WhatsApp. Nós construímos o WhatsApp para que as mensagens de grupos não possam ser enviadas a um membro oculto.
A privacidade e a segurança de nossos usuários é muito importante para o WhatsApp. É por isso que coletamos pouca informação e todas as mensagens enviadas no WhatsApp são criptografadas de ponta a ponta”.
O bafafá foi tanto que o chefe de segurança do Facebook (o WhatsApp faz parte da empresa desde 2014) se pronunciou em uma série de mensagens no Twitter sobre a descoberta dos pesquisadores.
Ele afirmou que a segurança dos usuários se mantém protegida por conta da criptografia ponta a ponta das mensagens. "Em suma, as notificações claras e múltiplas formas de verificar quem está no seu grupo impedem a escuta silenciosa. O conteúdo das mensagens enviadas nos grupos WhatsApp permanece protegido por criptografia de ponta a ponta".
Falhas no WhatsApp: como se proteger
- Problemas de segurança no WhatsApp identifcados por estudo: o que fazer
- WhatsApp falso: como diferenciar do oficial e outros detalhes
- Falha na criptografia: como foi achado erro por especialista