A empresa israelense de segurança Check Point demonstrou durante a conferência Black Hat, evento que foi realizado de 3 a 8 de agosto em Las Vegas, Estados Unidos, uma vulnerabilidade grave do principal mensageiro instantâneo do mundo, o WhatsApp, utilizado por mais de 1,5 bilhão de pessoas em 180 países. A falha permite que cibercriminosos alterem o conteúdo de mensagens, tanto de forma privada – em uma sessão de chat – como também em conteúdo enviados para grupos.
Durante a apresentação os pesquisadores Dikla Barda, Roman Zaikin e Oded Vanunu, demonstraram uma prova de conceito dessa vulnerabilidade que é de conhecimento da equipe do WhatsApp desde o final de 2018 – e permanece sem solução. A vulnerabilidade pode ser explorada através de três métodos de ataque diferentes que envolvem o uso de técnicas de engenharia social para enganar o usuário final, explicam os pesquisadores da CheckPoint.
As três formas de exploração são as seguintes:
Alterando a identidade – primeiro método citado pela Check Point é a mudança da identidade da pessoa que envia a mensagem – mesmo que ela não seja membro de m grupo.
Modificação do texto de uma mensagem – mesmo com a criptografia de ponta a ponta utilizado em apps como o WhatsApp, a falha permite que o conteúdo de mensagem seja alterado
Derrubando a privacidade – o terceiro método de exploração é mudar parâmetros de como uma mensagem será encaminhada, o usuário acaba sendo enganado achando que a mensagem está sendo enviada de forma privada, para uma única pessoa, mas na verdade o conteúdo está sendo repassado para um grupo.
Check Point demonstrando o ataque:
Entre os três métodos da exploração, apenas o terceiro já foi solucionado. Oded Vanunu, um dos pesquisadores da Check Point, disse à BBC que que a empresa proprietária do WhatsApp, o Facebook, explicou que os outros problemas não puderam ser resolvidos devido a limitações de infraestrutura no WhatsApp. A tecnologia de criptografia usada pelo aplicativo torna extremamente difícil para a empresa monitorar e verificar a autenticidade das mensagens enviadas pelos usuários.
No entanto, em nota enviada ao The Next Web o enfoque do Facebook em relação ao assunto foi diferente. “Analisamos cuidadosamente esse problema há um ano e é falso sugerir que há uma vulnerabilidade na segurança que fornecemos no WhatsApp. O cenário descrito é meramente o equivalente de alterar o conteúdo em uma resposta de e-mail para fazer com que pareça algo que uma pessoa não escreveu”
Os pesquisadores de segurança da Check Point enfatizam que é necessária uma ferramenta especial para contornar a criptografia do WhatsApp e explorar as vulnerabilidades. Seus próprios pesquisadores foram os responsáveis pelo desenvolvimento dessa ferramenta.
Clique aqui para conferir o relatório completo da Check Point sobre essa vulnerabilidade do WhatsApp.