Nesta terça-feira (9), uma pesquisadora da equipe de segurança Project Zero, do Google, publicou um relatório revelando como usuários do WhatsApp podem perder o controle de suas contas ao responder uma chamada de vídeo de um usuário mal-intencionado.

Natalie Silvanovich publicou sua descoberta no blog Google Chromium e explicou que a vulnerabilidade foi descoberta em agosto e foi rapidamente reportada pela companhia responsável pelo WhatsApp, no caso, o Facebook. O Project Zero busca vulnerabilidades e eles costumam dar às empresas 90 dias para corrigir o problema antes de tornar a questão pública. Neste caso, Silvanovich disse que a correção para Android foi liberada em 28 de setembro, enquanto a para iOS foi disponibilizada em 3 de outubro.

WhatsApp Business não foi feito para inundar pessoas de spam, diz executivo
WhatsApp quer ganhar dinheiro cobrando empresas que demorarem para responder clientes

O Gizmodo contatou o Facebook para confirmar a correção, mas não recebemos uma resposta imediata. Nesta quarta-feira (10), um porta-voz do WhatsApp disse à Reuters:

Nós frequentemente nos engajamos com pesquisadores de segurança de várias partes do mundo para assegurar que o WhatsApp se mantenha seguro e confiável. Nós liberamos uma correção na última versão do WhatsApp para corrigir esse problema.

A pesquisadora explicou que a vulnerabilidade provocava um erro de corrupção do sistema causando travamento quando um pacote malformado RTP era recebido. A técnica — uma videochamada para um usuário feita na esperança de que o destinatário atendesse — foi identificada como um método simples de entrega, embora não fosse o único empregado. É um lembrete de que mesmo se um hacker tivesse a habilidade de obter o número de telefone de uma vítima, há formas de explorá-lo.

Com 1,2 bilhão de usuários, o WhatsApp é um prato cheio para malfeitores. “Isso é algo grande”, tuitou Tavis Ormandi, um colega de Silanovich, que também trabalha no Google. “Ao responder uma chamada de uma pessoa mal-intencionada, você pode ter sua conta do WhatsApp comprometida.”

O relatório foi divulgado alguns dias após o Facebook anunciar o Portal, um produto para fazer videoconferências lançado que já teve uma recepção negativa, pois a rede social passou por problemas de segurança e privacidade nos últimos meses.

[Natalie SilvanovichReuters]

Imagem do topo: Getty Images