Mais um dia, mais uma falha encontrada no WhatsApp. A novidade da vez permite que um usuário mal intencionado consiga desativar o mensageiro de outra pessoa usando apenas o seu número de telefone. Nem mesmo a autenticação de dois fatores, que tecnicamente adicionaria uma camada extra de segurança, é capaz de barrar a vulnerabilidade.

A falha foi descoberta pelos pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña e divulgada pela Forbes no dia 10 de abril. O processo de invasão ocorre em dois momentos críticos de utilização do WhatsApp: a instalação da ferramenta e a inserção do número de celular para ativar a conta — quando você precisa colocar o código enviado por SMS para confirmar o número e que é você mesmo quem está tentando habilitar o dispositivo.

O problema começa nessa segunda etapa: ao tentar ativar a conta com o código enviado, o mensageiro não reconhece o dígito de seis números. Conforme você for fazendo mais tentativas, o login acaba bloqueado temporariamente por 12 horas pelo atacante, que então envia um e-mail ao suporte do WhatsApp solicitando o bloqueio da sua conta. Aparentemente, qualquer e-mail pode ser inserido nessa solicitação junto ao aplicativo, sob a alegação que o aparelho foi roubado ou perdido.

Para piorar, a segurança fica comprometida mesmo que você tenha ativado a autenticação de dois fatores, e o próprio WhatsApp responde à mensagem do cibercriminoso sem te avisar do problema, já que a companhia não faz nenhum procedimento de segurança para confirmar que você é o autor daquela solicitação. Como resultado, sua conta no app pode sofrer um novo bloqueio, desta vez quase permanente, já que o atacante repete várias vezes o processo de confirmação via SMS. Isso fica confirmado caso apareça a mensagem “Tente novamente após -1 segundo” quando você tenta confirmar a veracidade da sua conta.

É assim que o usuário saberá que sua conta foi bloqueada devido ao número excessivo de tentativas de uso do código SMS. Imagem: Forbes

É verdade que essa falha pode inutilizar por completo a abertura do WhatsApp em novos dispositivos. Mas, no geral, é apenas isso: o mensageiro não poderá ser aberto. De acordo com os pesquisadores que detectaram a vulnerabilidade, ela não permite que o autor do ataque acesse conteúdos dentro do WhatsApp, o que significa que contatos, imagens e textos estão protegidos.

Os pesquisadores ainda afirmam que a falha não está sendo explorada, pelo menos por enquanto, porque ela foi descoberta em uma prova de conceito.

Assine a newsletter do Gizmodo

Em resposta à Forbes, um porta-voz do WhatsApp contou que “fornecer um endereço de e-mail com a verificação em duas etapas ajuda nossa equipe de atendimento ao cliente a auxiliar as pessoas caso elas encontrem esse problema improvável”, e que “as circunstâncias identificadas pelos pesquisadores violariam nossos termos de serviço e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar”.

[Forbes]