WhatsApp corrige, silenciosamente, problema de privacidade antigo

A enorme popularidade do WhatsApp faz o aplicativo de comunicação também ser bastante visado para ataques cibernéticos: ele possui criptografia de ponta-a-ponta (E2EE), que protege a confidencialidade do usuário, mas falhas de implementação no design do app faz com que hackers consigam descobrir dados importantes sobre a conta, como o dispositivo utilizado, por exemplo.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que significa "Zero Trust" (Confiança Zero)?

Um problema de privacidade grande está justamente no fingerprinting, o identificador do dispositivo usado. Cibercriminosos, para atacar vítimas, precisam saber o sistema operacional em questão, já que usar um vírus de Android em um iPhone não apenas resulta em falha, mas pode expor o ataque e permitir que pesquisadores de segurança consertem a brecha rapidamente.

Conserto parcial e silencioso

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Pesquisadores de segurança como Tal Be’ery já avisaram o WhatsApp do problema de fingerprinting há muito tempo, sem resposta da plataforma. A questão central está na chave de encriptação de cada sessão da conta do usuário, que é diferente para cada plataforma, revelando aos atacantes em qual brecha mirar. Agora, a falha recebeu correções, mas incompletas, e feitas de maneira silenciosa, sem reconhecer quem a identificou. 

Há poucos dias, a lógica de encriptação do Android mudou, ficando randômica, o que já esconde, em partes, o dispositivo usado, mas outras plataformas ainda não receberam o mesmo tratamento, permitindo a identificação com poucas mudanças no método.

Vale lembrar que, anteriormente, a Meta, responsável pelo app, sequer reconhecia o problema como algo relevante quanto à privacidade dos usuários. Quem reportou a falha não foi avisado da correção e nem recebeu recompensa por isso, como é de praxe, e a brecha não recebeu, ainda, um número CVE para identificação.

Outra correção semelhante, implementada recentemente, teve o reconhecimento dos pesquisadores responsáveis pela descoberta e recompensa devida, mas mesmo assim não recebeu um CVE. Enquanto pesquisadores consideram que o WhatsApp pode ser mais transparente e colaborativo em relação aos seus problemas, é bom que suas vulnerabilidades estejam, aos poucos, sendo corrigidas.

Veja mais no Canaltech:

• Rival do ChatGPT ganha extensão que opera sem supervisão e pode expor seus dados
• Mercados chineses na dark web usam Telegram para transação ilegal de criptomoeda
• Hacker invade Agência Espacial Europeia e vende 200GB de dados roubados

VÍDEO | WhatsApp Sendo ESPIONADO Sem Você Saber! 😱

Fonte: Tal Be'ery