Uma falha considerada simples pode fazer com que qualquer pessoa perca sua conta do WhatsApp de forma definitiva, mesmo se houver ativado a verificação em duas etapas. Para isso acontecer, um invasor só precisa ter o número do celular do usuário e comunicar ao mensageiro que aquela conta foi roubada. Caso o criminoso persista na fraude após a realização de alguns processos, ele pode fazer com que o usuário tenha sua conta deletada pelo app, mesmo à distância e sem qualquer contato com a vítima.
A vulnerabilidade foi descoberta pelos pesquisadores de cibersegurança Luis Márquez Carpintero e Ernesto Canales Pereña, e relatada pela Forbes neste sábado (10). Procurado pelo TechTudo, o WhatsApp diz que a prática fere os termos de uso do aplicativo e que o cadastro do e-mail solicitado durante a ativação da verificação de duas etapas é fundamental para que o verdadeiro proprietário da conta seja identificado pela companhia antes do bloqueio. Confira a íntegra da nota ao final desta matéria.
Segundo os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña, responsáveis pela descoberta, o processo de segurança do WhatsApp apresenta falhas que permitem roubar uma conta apenas com o número da vítima. Eles afirmam que a primeira vulnerabilidade é a possibilidade de tentar fazer login com qualquer número de telefone do mundo, mesmo que o usuário não seja o proprietário da linha ou que, sequer, esteja próximo do telefone citado.
Mesmo que os bandidos não tenham acesso ao código de segurança de seis dígitos para ativar a conta, os pesquisadores consideraram problemática essa possibilidade. Além disso, outra fraqueza do app seria a efetivação do bloqueio da conta a partir de uma solicitação feita por um e-mail aleatório, sem a confirmação de propriedade do número.
Testes dos pesquisadores indicam que, com essas falhas do WhatsApp, é possível impedir o acesso a alguma conta simplesmente inserindo o número da vítima num celular novo várias vezes. O WhatsApp, então, bloquearia novas solicitações de login por um tempo. Com isso, a vítima não poderia ativar o seu WhatsApp em outro celular caso assim desejasse.
A partir daí, a conta terá sido excluída do aplicativo e só será possível recuperá-la entrando em contato com o suporte do mensageiro por e-mail. Caso o criminoso tenha estabelecido contato anteriormente e solicitado a remoção da conta, esse procedimento será ainda mais difícil.
O que diz o WhatsApp
Confira a íntegra da nota de esclarecimento sobre o caso, enviada pelo WhatsApp ao TechTudo:
“Fornecer um endereço de e-mail ao ativar a confirmação em duas etapas ajuda a equipe de suporte do WhatsApp no atendimento aos usuários que se encontrem em uma situação como esta, por mais improvável que seja. As circunstâncias identificadas pelo pesquisador violariam os Termos de Serviço do aplicativo e o WhatsApp encoraja a todos os seus usuários a entrarem em contato com a equipe de assistência sempre que precisarem de ajuda para que o problema seja investigado”.
O WhatsApp não informou se planeja consertar a vulnerabilidade, apesar de ela poder ser explorada por qualquer pessoa de forma anônima.
Foto: Reprodução Google.