WhatsApp | Mesmo após um ano, manipulação de mensagens segue sem solução

Mesmo após um ano da descoberta de uma vulnerabilidade no WhatsApp, que permitia a manipulação de mensagens, o Facebook, dono do aplicativo que é utilizado por mais de 1,5 bilhão de pessoas, ainda não conseguiu solucionar essa questão.

Segundo pesquisadores da empresa israelense de segurança cibernética Checkpoint Research, as falhas tornariam possível "interceptar e manipular mensagens enviadas em conversas privadas e em grupo, dando aos invasores o poder de criar e disseminar informações errôneas do que parecem ser fontes confiáveis". Eles destacaram três problemas bem graves: manipulação de mensagens para parecer que alguém escreveu algo que não existia antes; modificação da resposta de um usuário, fazendo com que pareça que o próprio a escreveu e um truque que envia uma mensagem privada a outros grupos públicos.

Os pesquisadores disseram que alertaram o WhatsApp sobre as falhas em agosto do ano passado e que a empresa abordou apenas uma das três vunerabilidades destacadas. Mas eles acrescentaram, também, que os outros dois permanecem exploráveis ​​até hoje e podem ser potencialmente usados ​​de maneira maliciosa pelos cibercriminosos.

Quando a notícia da vulnerabilidade surgiu no ano passado, a empresa disse que fazer as mudanças sugeridas pela Checkpoint forçaria o WhatsApp a registrar todas as mensagens e que não estava pronta para fazer isso por razões de privacidade.

Empresa mostrou na prática

Como é do conhecimento de todos, o WhatsApp é extremamente popular, não apenas por ser um mensageiro, mas também por ser utilizado para a propagação de notícias, vídeos e demais mídias. Para complicar ainda mais o problema, todas as comunicações do WhatsApp possuem criptografia ponta a ponta, o que torna mais difícil para ele - ou mesmo para as agências de segurança - monitorar e verificar a autenticidade das mensagens.

O Burp Suit Extension, da Checkpoint, conseguiu quebrar essa barreira de criptografia para visualizar mensagens de bate-papo e, portanto, torná-las abertas à manipulação. Para conseguir isso, os pesquisadores usaram o WhatsApp Web, que permite aos usuários emparelhar seu telefone usando um QR Code.

Ao obter as chaves privada e pública criadas antes de o QR Code ser gerado - além do parâmetro "secreto" enviado pelo telefone celular ao WhatsApp Web enquanto o usuário escaneia o código - a extensão facilita o monitoramento e a descriptografia das comunicações durante este processo.

Assim, tudo indica que, para explorar a vulnerabilidade, o invasor precisará conectar seu dispositivo móvel à extensão (veja o vídeo acima) para poder consumar o ataque.

Como isso impacta o usuário?

Uma vez que o tráfego da web - contendo inúmeros detalhes do participante, a conversa real e uma identificação única - é capturado, os pesquisadores disseram que as falhas permitiram falsificar respostas durante as conversas, alterar o conteúdo da mensagem e até mesmo “manipular o chat, enviando uma mensagem de volta ao remetente em nome da outra pessoa, como se tivesse vindo deles".

Com o WhatsApp se tornando uma grande plataforma de distribuição de notícias, muitas delas fake news, a exploração pode ter sérias implicações, pois prejudica a confiança do usuário no app, já que coloca a integridade das mensagens em questão.

O Facebook, por sua vez, comunicou aos pesquisadores que os outros dois problemas não poderiam ser resolvidos devido a “limitações de infraestrutura” no WhatsApp. Atualmente, há rumores de que o serviço de mensagens está trabalhando em uma versão de desktop autônoma, o que, se for verdade, pode limitar a extensão em que essas falhas poderiam ser aproveitadas.

Empresa desmente

Depois de a matéria circular nesta quinta-feira (8), o Facebook entrou em contato com o Canaltech alegando que não há falha de segurança nas condições descritas aqui.

"[O cenário] é meramente o equivalente móvel de alterar respostas em uma corrente de e-mail para fazer parecer algo que a pessoa não escreveu. Precisamos estar cientes de que atender a essas preocupações levantadas por esses pesquisadores poderia tornar o WhatsApp menos privado – como armazenar informação sobre a origem das mensagens", defendeu-se a companhia através de um porta-voz.

Fonte: The Next Web