Atualizado dia 9 de agosto às 9h57

Pesquisadores de segurança encontraram um método que permite mudar o conteúdo de uma mensagem já recebida ou a identidade de quem a enviou no WhatsApp. A alteração é feita por meio da funcionalidade de “resposta” do aplicativo, quando é mostrada uma citação de um conteúdo enviado anteriormente.

• De olho no combate às fake news, WhatsApp vai limitar uso do recurso encaminhar
• WhatsApp libera chamadas de voz e vídeo em grupo, igualzinho ao Skype

A descoberta foi feita pela companhia de cibersegurança israelense CheckPoint. É preciso criar uma versão hackeada do aplicativo do WhatsApp para realizar as alterações. Basicamente, a falha se concentra no WhatsApp Web: uma vez que o atacante encontra a chave pública de criptografia do grupo, a partir do console de inspeção do navegador (ferramentas de desenvolvedor), ele a inclui em um software e faz modificações com facilidade.

Uma vez que a citação da mensagem é modificada, usuários podem ser enganados ao acreditar no conteúdo falso ou então ao visualizar o remetente incorreto. Os detalhes estão no blog oficial da CheckPoint.

O WhatsApp reconheceu que é possível que alguém manipule a funcionalidade de citação na resposta de mensagens, mas negou que essa seja uma falha de segurança, como aponta o New York Times. Segundo os desenvolvedores do aplicativo, o sistema funciona como deveria e a criação de um método de verificação para cada mensagem na plataforma poderia criar um grande risco à privacidade, além de sobrecarregar o serviço.

Para contornar o problema, a empresa afirma que trabalha para encontrar e remover quaisquer versões falsas do WhatsApp. “Nós analisamos cuidadosamente o problema e ele é equivalente a alterar um email”, disse Carl Woog, um porta-voz do WhatsApp, em um comunicado enviado ao NYT. Ainda segundo ele, a descoberta da CheckPoint não tem nada a ver com a criptografia de ponta-a-ponta, que assegura que apenas quem enviou e recebeu podem ler o conteúdo da mensagem.

O problema com a possibilidade de alteração de conteúdo das mensagens está diretamente ligado com a distribuição de desinformação no WhatsApp.

Oded Vanunu, chefe de pesquisa de vulnerabilidades da CheckPoint, aponta que a possibilidade de alterar as mensagens dá aos atacantes uma ferramenta para espalhar desinformação a partir de algo que pode parecer uma fonte confiável. O problema é maior em conversas em grupos, que pode ter até 256 pessoas.

Se você já esteve em algum grupo sabe que de vez em quando chegam dezenas ou centenas de mensagens de uma vez só, e aí fica fácil se perder e não visualizar direito quem enviou o quê. “As pessoas se valem da integridade das mensagens. O WhatsApp precisa fazer um ajuste e prevenir essa manipulação simples”, disse Vanunu.

A CheckPoint também descobriu uma maneira de enviar uma mensagem para um indivíduo específico de um grupo. Essa pessoa pode ser enganada ao acreditar que todo o grupo viu uma determinada mensagem e respondê-la.

O problema da desinformação é reconhecido pelo próprio WhatsApp. Recentemente, o aplicativo anunciou que irá limitar o recurso de encaminhar mensagens, justamente para tentar reduzir o compartilhamento desenfreado de conteúdos.

Casos envolvendo notícias falsas estão se tornando mais comuns. Desde abril, 24 pessoas já foram assassinadas na Índia em decorrência do compartilhamento de rumores — geralmente, boa parte das vítimas fatais foi alvo de linchamento público por supostamente serem sequestradoras de crianças. No Brasil, notícias falsas sobre as reações da vacina da febre amarela se espalharam por meio do WhatsApp.

Por enquanto, os problemas envolvendo a alteração das citações ainda estão no campo da discussão de pesquisa de segurança. Tanto o WhatsApp quanto a CheckPoint dizem que não há relatos de usuários comuns criando citações falsas nas respostas das conversas no aplicativo. Abaixo, tem um vídeo da CheckPoint em que explica com o ataque funciona:

Além disso, o WhatsApp minimiza os problemas afirmando que 90% das conversas no app são apenas entre duas pessoas. Para checar a veracidade de uma citação de mensagem, basta tocar sobre ela – o aplicativo irá te levar para a mensagem original, a menos que ela tenha sido deletada anteriormente ou se o participante tiver entrado no grupo após o conteúdo original.

O aplicativo diz ainda que não vale a pena tentar consertar esse problema. Uma possível solução seria criar transcrições de cada troca de mensagem para verificar cada citação – porém, isso traria grande risco à privacidade, já que esses conteúdos precisariam ser armazenados em algum lugar.

[New York Times]

Imagem do topo: Getty