As coisas podem ficar realmente desagradáveis para usuários do WhatsApp se você não tomar cuidado. Foi descoberta uma nova vulnerabilidade que pode permitir que um invasor remoto desative facilmente o WhatsApp em seu telefone, apenas com seu número de telefone. O preocupante é que a autenticação de dois fatores não será capaz de impedir que isso aconteça. O WhatsApp do Facebook tem mais de 2 bilhões de usuários globalmente, mais ou menos alguns, tornando-o o aplicativo de mensagens instantâneas mais popular e usado do mundo. A maneira como esse ataque funciona é que ele exige uma quantidade de erros do próprio usuário, mas na próxima etapa que deve ser projetada para proteger isso, a autenticação de dois fatores também não faz nada para impedir o ataque. Os pesquisadores de segurança, Luis Márquez Carpintero e Ernesto Canales Pereña, demonstraram a vulnerabilidade e foram capazes de matar o WhatsApp no telefone de um usuário para Forbes .
Essa vulnerabilidade tem duas partes, conforme descrito no relatório. A primeira é como o WhatsApp é instalado em qualquer dispositivo. Por exemplo, ao instalar o WhatsApp em seu telefone, você receberá um código SMS para verificar o cartão SIM e o número. A mesma coisa pode ser feita por um hacker: instale o WhatsApp em seu telefone usando seu número de telefone. Nesta fase, você começará a receber códigos de seis dígitos em SMS, sugerindo que alguém solicitou o código para instalar o WhatsApp em seu telefone. Não há nada que você possa fazer, e o WhatsApp no seu telefone continuará funcionando normalmente por enquanto. Esses códigos chegarão repetidamente, pois isso faz parte do processo do hack. Em um estágio, o processo de verificação do WhatsApp limitará o número de códigos que podem ser enviados e restringirá a capacidade de gerar mais códigos por um período de 12 horas. Durante esse tempo, seu WhatsApp continuará funcionando de maneira absolutamente normal. No entanto, o que você não deve fazer neste estágio é desativar o WhatsApp em seu telefone e tentar reinstalá-lo. Você não poderá gerar um código. Espera-se que esta vulnerabilidade afete o WhatsApp para Android e o WhatsApp para iPhone.
Ligado para o próximo passo. O hacker cria um ID de e-mail e, em seguida, envia um e-mail para [email protected] informando que o telefone no qual o WhatsApp foi instalado foi roubado ou perdido e que eles precisam desativar o WhatsApp para esse número-e este será o seu número de telefone. O WhatsApp pode confirmar seu número novamente por e-mail, mas não há como eles identificarem se é um hacker que está enviando esses e-mails ou o proprietário genuíno. Depois de um tempo, o WhatsApp do seu número de telefone será desativado. Você verá a notificação “Seu número de telefone não está mais registrado no WhatsApp neste telefone” na próxima vez que abrir o aplicativo. Ele continua dizendo que isso pode ser porque o WhatsApp foi instalado em outro telefone. Fique muito alarmado neste estágio.
O curso lógico de ação seria tentar configurar o WhatsApp novamente em seu telefone. Você digita seu número e espera pelo código de verificação. O relatório sugere que nenhum código chegará no SMS e o aplicativo dirá “Espere antes de solicitar um SMS ou uma chamada”. Isso porque seu telefone agora está sujeito à mesma contagem regressiva de 12 horas com oportunidades limitadas de nova verificação. “Mas de repente você se lembra que recebeu códigos WhatsApp inesperados uma ou duas horas antes. Você recupera o SMS mais recente e insere o código no WhatsApp. Mas mesmo isso não funcionará. “Você já adivinhou muitas vezes”, diz seu WhatsApp. Obviamente, você ainda não adivinhou. Mas seu telefone tem as mesmas restrições do invasor. Você não pode solicitar um novo código, não pode inserir o último código, está preso ”, diz o relatório.
Após a marca de 12 horas, você terá dois caminhos e será capaz de descer um dependendo de sua sorte. Se o ataque parar aqui, você poderá registrar o WhatsApp no seu telefone e a vida pode voltar ao normal. Mas se não, então mais problemas o aguardam. Se o invasor esperar o período de 12 horas e enviar um e-mail para o WhatsApp novamente, você não conseguirá configurar o WhatsApp no seu telefone, mesmo se receber mensagens de texto com códigos. Os pesquisadores indicam que o WhatsApp quebra e fica confuso após o terceiro ciclo de 12 horas e, em vez de uma contagem regressiva, simplesmente diz “tente novamente após-1 segundo”. O mesmo tratamento é dado ao seu telefone e ao telefone do invasor. E aqui reside o problema. Se o invasor esperar até agora antes de enviar um e-mail novamente para o WhatsApp para desativar o seu número, não haverá como você registrar novamente o WhatsApp no seu telefone quando for expulso do aplicativo. “É tarde demais”, disseram os pesquisadores à Forbes.
O problema com a verificação do WhatsApp arquitetura é que os códigos SMS e o suporte de e-mail automatizado não têm nenhuma segunda camada para verificar a autenticidade e estão muito abertos para abusos. Os pesquisadores também apontam que esse tipo de ataque não precisa de sofisticação para ser implementado. “Não há como deixar de ser descoberto no WhatsApp. Qualquer pessoa pode digitar um número de telefone para localizar a conta associada, se houver. Idealmente, uma mudança no sentido de ter mais foco na privacidade ajudaria a proteger os usuários disso, bem como forçaria as pessoas a implementar um PIN de verificação em duas etapas ”, disse Jake Moore da ESET à Forbes. O WhatsApp simplesmente se vincula a um número de telefone e não tem uma política de dispositivo confiável que o vincula a um ID de dispositivo ou sistema operacional em que foi instalado e verificado pela última vez.
Infelizmente, a resposta do WhatsApp ao Zak Doffman da Forbes não traz muita confiança. Tudo o que eles dizem é, “fornecer um endereço de e-mail com sua verificação em duas etapas ajuda nossa equipe de atendimento ao cliente a ajudar as pessoas caso elas encontrem esse problema improvável. As circunstâncias identificadas por este pesquisador violariam nossos termos de serviço e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar. ” Realmente, se o seu WhatsApp foi hackeado, saber que o responsável por este ataque não sofisticado está violando os termos de serviço do WhatsApp, é um consolo insuficiente. O relatório também diz que o WhatsApp não confirmou nenhum plano para corrigir essa vulnerabilidade.
Leia todos os Últimas notícias e Últimas notícias aqui
