Pesquisadores de segurança encontraram uma nova vulnerabilidade no WhatsApp que permite que invasores bloqueiem facilmente seu acesso à sua conta.
Pesquisadores de segurança encontraram uma nova vulnerabilidade no WhatsApp que pode levar mais usuários a saia do serviço de mensagens de propriedade do Facebook. Atores maliciosos podem facilmente explorar esta vulnerabilidade para bloquear o acesso à sua conta do WhatsApp indefinidamente, tornando-a mais do que apenas um pequeno inconveniente para os mais de 2 bilhões de usuários do mensageiro. Mas essa não é a pior parte.
Segundo os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña (através da Forbes), os invasores não exigem nenhum software ou treinamento especial para explorar essa vulnerabilidade. Eles só precisam de acesso ao seu número de telefone. Assim que conseguirem isso, eles poderão bloquear seu acesso à sua conta do WhatsApp sem muito esforço. E é assim que funciona.
O WhatsApp exige autenticação de dois fatores sempre que você faz login em um novo dispositivo. Para isso, o serviço envia um código de seis dígitos para o seu número de telefone para verificação. Caso você digite o código errado várias vezes, o WhatsApp suspende sua conta automaticamente por 12 horas.
Os invasores podem explorar esse sistema de autenticação de dois fatores instalando o WhatsApp em um novo dispositivo, digitando seu número de telefone e digitando repetidamente o código errado. Embora isso impeça que você faça login em um novo dispositivo pelas próximas 12 horas, não afetará a instalação atual do WhatsApp. Ele continuará funcionando conforme planejado.
Para evitar que você faça login em um novo dispositivo indefinidamente, um invasor só precisa repetir as etapas mencionadas três vezes. No terceiro ciclo de 12 horas, o cronômetro de suspensão do aplicativo será interrompido e começará a mostrar um cronômetro de “-1 segundo”. Assim que esse bug aparecer, o WhatsApp não permitirá que você faça login em um novo dispositivo. No entanto, sua instalação atual continuará funcionando. Mas a exploração não termina aí, pois pode ser encadeada para aumentar drasticamente o seu impacto.
A ação final do invasor também interromperá sua instalação atual e sua conta será bloqueada permanentemente. Para isso, basta o invasor enviar um e-mail ao WhatsApp solicitando ao serviço a desativação do seu número de telefone. O WhatsApp pode enviar uma resposta automática solicitando ao invasor que confirme o número e, assim que ele confirmar, o WhatsApp desativará automaticamente sua conta sem o seu conhecimento.
Sua instalação atual do WhatsApp irá parar de funcionar repentinamente e você verá a seguinte notificação: "Seu número de telefone não está mais registrado no WhatsApp neste telefone. Isso pode ocorrer porque você o registrou em outro telefone. Se você não fez isso, verifique seu número de telefone para fazer login novamente em sua conta." Agora, ao tentar verificar seu número de telefone, você verá o cronômetro de suspensão de "-1 segundos" e não conseguirá fazer login.
Como não há sofisticação nesse ataque, qualquer pessoa com acesso ao seu número de telefone pode facilmente bloquear seu acesso à sua conta do WhatsApp em questão de dias. Portanto, o WhatsApp precisa resolver esse problema gritante imediatamente.
O mensageiro já foi alertado sobre o problema. Em resposta à divulgação, um porta-voz do WhatsApp disse Forbes que "fornecer um endereço de e-mail com sua verificação em duas etapas ajuda nossa equipe de atendimento ao cliente a ajudar as pessoas caso elas encontrem esse problema improvável." O fato de o WhatsApp considerar este um problema “improvável” deve ser motivo suficiente para que muitos usuários abandonem o serviço. Além disso, o porta-voz acrescentou que aqueles que tentassem explorar estariam violando os termos de serviço do WhatsApp. Como se isso fosse assustar todos os hackers e impedir que brincalhões tentassem explorar um usuário desavisado.
Pedimos aos nossos leitores que não explorem esta vulnerabilidade, não porque violar os termos de serviço do WhatsApp irá levá-los à prisão, mas porque é uma coisa bastante horrível de se fazer. Além disso, se você finalmente estiver pronto para mudar para um serviço diferente, confira nosso guia detalhado sobre alternativas ao WhatsApp que destaca todos os prós e contras de mudar para outra plataforma.