Pesquisadores mostram como bloquear o WhatsApp de qualquer pessoa sem invasão

Por Ramon de Souza | Editado por Luciana Zaramela | 12 de Abril de 2021 às 23h20
Reprodução/SAIYED IRFAN A (Pixabay)

O Brasil é um dos países que mais sofre com golpes de clonagem e sequestro de WhatsApp — artifício geralmente empregado por criminosos cibernéticos para obter informações sensíveis ou convencer parentes próximos a lhe “emprestar” (muitas aspas aqui) dinheiro. Porém, uma dupla de pesquisadores identificou — e relatou com exclusividade à Forbes — uma falha estrutural no mensageiro que pode ser abusada não para invadir contas, mas sim para invalidá-las e torná-las inutilizáveis pelos seus donos.

Luis Márquez Carpintero e Ernesto Canales Pereña perceberam que, quando um atacante tenta instalar o aplicativo em seu próprio dispositivo usando o número de outra pessoa, ele obviamente não conseguirá, já que o código de verificação será enviado por SMS ao celular do proprietário legítimo do perfil. Porém, o software permite que você force o reenvio desse código repetidamente até que esse processo de autenticação seja bloqueado por “questões de segurança” durante 12 horas.

E é aí que está o pulo do gato: nesse momento, o golpista entra em contato com o suporte técnico do WhatsApp e diz que o gadget (no caso, o da vítima) foi perdido e que o perfil do mensageiro precisa ser desativado. Sem qualquer verificação de identidade, o SAC do software aceita a solicitação e realiza o bloqueio. No fim das contas, o legítimo dono da conta acaba ficando preso fora de sua conta e o “hacker” pode realizar esse processo de maneira contínua, causando esse entrave “semi-permanente”.

Imagem: Reprodução/Forbes

Novamente, a técnica não pode ser usada para invadir ou sequestrar qualquer perfil, mas é fácil imaginar as dores de cabeça que uma trollagem dessas pode causar (especialmente se for aplicada contra contas corporativas). Carpinteiro e Pereña garantem que não há indícios de que o bug esteja sendo explorado por criminosos por enquanto — até porque é difícil conseguir alguma monetização através desse método, e os meliantes digitais sempre procuram formas de ganhar dinheiro —, mas ainda assim a situação é preocupante.

Procurado pelo Android Police, o WhatsApp se limitou a afirmar que tal técnica “viola os seus termos de uso”, mas não deu indícios de que tentará corrigir o problema. O Canaltech também entrou em contato com o mensageiro; atualizaremos esta reportagem assim que a companhia se pronunciar.

A resposta do WhatsApp

Ao Canaltech, o WhatsApp do Brasil enviou o seguinte posicionamento:

“Fornecer um endereço de e-mail ao ativar a confirmação em duas etapas ajuda a equipe de suporte do WhatsApp no atendimento aos usuários que se encontrem em uma situação como esta, por mais improvável que seja. As circunstâncias identificadas pelo pesquisador violariam os Termos de Serviço do aplicativo e o WhatsApp encoraja a todos os seus usuários a entrarem em contato com a equipe de assistência sempre que precisarem de ajuda para que o problema seja investigado.”

Fonte: Android Police

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.