Brecha não foi utilizada em larga escala, mas problema expõe limitações da segurança do aplicativo de mensagens.
Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
Postado em 14 de maio de 2019 às 22h30m
É fundador de um site especializado na defesa contra ataques cibernéticos
Postado em 14 de maio de 2019 às 22h30m
A falha no WhatsApp, que levou os desenvolvedores do aplicativo a pedirem que todos os usuários atualizem o software para se protegerem, parece, inicialmente, assustadora: um hacker só precisava do seu número de telefone para iniciar uma chamada de voz pelo WhatsApp para invadir o telefone e instalar um programa espião.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2018/h/F/VUokWyTpahADbKQSADfg/wapp.jpg "Aplicativo confirmou brecha nas chamadas de vídeo nesta terça-feira (14) — Foto: AFP")
Não era nem sequer preciso aceitar a chamada — o invasor só precisava poder realizar a chamada. E qualquer registro dessa chamada poderia ser removido do histórico pelo próprio software espião.
Será que finalmente é possível "invadir um celular só pelo número" (desde que o WhatsApp esteja instalado no aparelho)? Será que todos os nossos aparelhos estão comprometidos e com um software espião instalado?
Parece uma boa história para um filme, mas a realidade, felizmente, não é essa. Os ataques que utilizaram essa falha foram realizados de maneira muito limitada.
Ainda não se sabe quantos usuários exatamente foram vítimas, mas não seria estranho se fossem centenas ou, no máximo, milhares — uma quantidade ínfima perto dos 1,5 bilhão de usuários que o WhatsApp possui.
Também é improvável que os responsáveis por essas invasões soubessem apenas o número da vítima. Eles provavelmente sabiam se a pessoa utilizava um Android ou um iPhone, e talvez tinham até alguma noção sobre a versão específica do sistema que estava em uso.
Ataques efetivos contra celulares são bastante difíceis de serem realizados com sucesso.
Uma das tentativas de ataque, que foi monitorada por especialistas, fracassou. O Citizen Lab, um grupo de pesquisadores canadenses que presta apoio para ativistas e jornalistas vítimas de software de espionagem, acredita que o ataque pode ter fracasso por conta de medidas adotadas pelo WhatsApp. Mas também é possível que o ataque tenha fracassado por conta da complexidade envolvida nesse tipo de operação. É por esse motivo que se sabe muito pouco sobre como a falha de fato funciona.
Até o presente momento, não há nenhum relato de alguém que de fato viu e analisou o ataque sendo realizado com êxito.
Portanto, você não foi vítima. E, como o WhatsApp já foi atualizado, também não será vítima no futuro, desde que instale a atualização, o que deve ocorrer automaticamente quando você conectar seu celular ao carregador.
O que isso significa para o WhatsApp?
Embora o WhatsApp tenha ganhado uma boa reputação adotando a chamada criptografia de ponta a ponta no aplicativo, algo que impede diversas técnicas de espionagem, o processamento de mensagens e chamadas é um assunto separado.
Qualquer informação recebida pelo app (seja uma mensagem, uma chamada de voz, uma mensagem de vídeo, a visualização de um perfil, um convite de grupo...) precisa ser "higienizada" para garantir que um hacker não tenha feito modificações que possam travar o aplicativo ou, pior que isso, roubar dados e prejudicar o celular.
Equívocos como este estão em linha com o histórico do WhatsApp. O aplicativo sempre negligenciou a segurança: no início, o WhatsApp não adotava nenhum tipo de criptografia, permitindo que qualquer mensagem trocada em uma rede Wi-Fi pudesse ser vista por outros participantes da rede, por exemplo.
Qualquer software tem falhas. Mas esse tipo de problema também resulta da falta de restrições no WhatsApp, em que qualquer pessoa pode enviar uma mensagem, fazer uma chamada ou "obrigar" alguém a entrar em um grupo, mesmo que não esteja na lista de contatos.
A criptografia não atua em favor do WhatsApp. Na verdade, ela reduz a visibilidade que o WhatsApp poderia ter sobre o conteúdo das transmissões, o que mostraria como possíveis falhas são exploradas.
Graças à criptografia, fica mais difícil ou até impossível conseguir essas informações. Fraudes e mensagens falsas também se proliferam na rede do WhatsApp sem qualquer freio pela mesma razão.
A reação do Facebook, que é responsável pelo WhatsApp, também deixou a desejar. Em janeiro, a Apple desativou por completo o recurso de chamadas em grupo no FaceTime quando ficou sabendo de uma vulnerabilidade e só reativou a função depois que o problema foi corrigido.
É possível que o Facebook tenha tido ciência da brecha no WhatsApp por dez dias, mas nenhuma medida contundente como esta foi tomada para garantir a segurança dos usuários.
Quem busca segurança para suas comunicações — e não a privacidade absoluta da criptografia — faria bem em avaliar outros serviços de mensagens.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/K/Y/5OCww5Q3y9g8b5BMMsJQ/atlasquantum-confiavel.jpg "Bitcoin é confiável? Entenda por que a criptomoeda é rentável e segura — Foto: Shutterstock")