Há cerca de um ano foram descobertas brechas de segurança no mensageiro mais popular do mundo, o Whatsapp. E agora, para verificar se as falhas foram corrigidas, pesquisadores do Check Point Research utilizaram o antigo método de invasão — e, surpreendentemente, conseguiram driblar a segurança do aplicativo.
As falhas não foram corrigidas e ainda são bastante graves. Além do fato do mensageiro ser utilizado por mais de 1,5 bilhão de pessoas, é uma forma de comunicação entre empregados e grupos de trabalho, onde são enviadas mensagens de fontes confiáveis e, se falsificadas, podem criar graves problemas.
- As brechas divulgadas pelos pesquisadores no ano passado (2018) foram:
- Usar o recurso de ‘aspas’ em um grupo a fim de mudar a identidade de um remetente mesmo que a pessoa não esteja no grupo;
- Enviar uma mensagem pública “disfarçada” de mensagem privada para um participante de um grupo e a resposta ser enviada em um grupo.
Das três, somente a última citada foi corrigida pelo Whatsapp. As outras duas, igualmente perigosas, foram replicadas pelos pesquisadores com sucesso. Nesse vídeo podemos ver uma aplicação perigosa dessa vulnerabilidade, onde um chefe tem suas palavras alteradas pelo atacante, tendo sua resposta sobre o aumento adulterada favorecendo o funcionário.
O site mostra em detalhes como as brechas foram descobertas e expostas, além de aplicações das outras falhas divulgadas.
O Facebook se pronunciou
Depois de serem novamente notificados, o Facebook alega que “limitações da infraestrutura” do Whatsapp impedem a correção dessas outras duas vulnerabilidades e afirmam que, na época da primeira denúncia, estudaram com cuidado as falhas e suas possíveis soluções.
Além disso, um porta-voz da rede social alerta que algumas das formas de contornar o problema relatado pelos pesquisadores, como registrar a origem das mensagens ou outros dados, irá diminuir a privacidade do aplicativo, dando mais poder à companhia sobre as conversas de seus usuários.
No último dia 5, outra vulnerabilidade foi divulgada. Coincidentemente, esta fere a privacidade do usuário, onde supostamente mensagens privadas eram destinadas para um servidor próprio da companhia além do dispositivo do destinatário.
Lembra desse susto do ano passado? Testemunhou a exploração de uma dessas vulnerabilidades? Compartilhe conosco!
Fonte: Tecmundo