Há cerca de 1 ano foram descobertas brechas de segurança no mensageiro mais popular do mundo, o WhatsApp. Agora, para verificar se as falhas foram corrigidas, pesquisadores do Check Point Research utilizaram o antigo método de invasão e, surpreendentemente, conseguiram driblar a segurança do aplicativo.
Os problemas não foram corrigidos e ainda são bastante graves. Além do fato de o mensageiro ser utilizado por mais de 1,5 bilhão de pessoas, é uma forma de comunicação entre grupos de trabalho, pelo qual são enviadas mensagens de fontes confiáveis, que, se falsificadas, podem criar problemas.
)
As brechas divulgadas pelos pesquisadores no ano passado foram:
- Usar aspas em um grupo a fim de mudar a identidade de um remetente mesmo que a pessoa não esteja no grupo;
Enviar uma mensagem pública "disfarçada" de mensagem privada para um participante de um grupo e a resposta ser enviada em um grupo.
Somente a última citada foi corrigida pelo WhatsApp. As outras, igualmente perigosas, foram replicadas pelos pesquisadores com sucesso. No vídeo a seguir é possível ver uma aplicação perigosa dessa vulnerabilidade, em que um chefe tem suas palavras alteradas pelo atacante, tendo sua resposta sobre o aumento adulterada favorecendo o funcionário.
O site mostra em detalhes como as brechas foram descobertas e expostas, além de aplicações das outras falhas divulgadas.
O Facebook se pronunciou
Depois de ser novamente notificado, o Facebook alegou que "limitações da infraestrutura" do WhatsApp impedem a correção das vulnerabilidades e afirma que, na época da primeira denúncia, estudou com cuidado as falhas e suas possíveis soluções.
Além disso, um porta-voz da rede social alerta que algumas das formas de contornar o problema relatado pelos pesquisadores, como registrar a origem das mensagens ou outros dados, diminuirá a privacidade do aplicativo, dando mais poder à companhia sobre as conversas dos usuários.
No último dia 5, outra vulnerabilidade foi divulgada. Coincidentemente, fere a privacidade, fazendo que que supostamente mensagens privadas fossem destinadas para um servidor próprio da companhia além do dispositivo do destinatário.
Lembra-se desse susto do ano passado? Testemunhou a exploração de uma dessas vulnerabilidades? Compartilhe conosco!
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
