Em um mundo em que a tecnologia está presente na hora de se comunicar, fazer compras e procedimentos bancários, criminosos investem cada vez mais a ataques virtuais. Estar de olho em todas as falhas de segurança de aplicativos de mais serviços é primordial. Por isso, a ESET - empresa de detecção proativa de ameaças - lançou um alerta sobre uma falha do WhatsApp que permite a terceiros suspender as contas de outras pessoas usando apenas o número de telefone dos usuários.
De acordo com a ESET, a suspensão pode ser feita da seguinte forma: ao configurar uma conta WhatsApp pela primeira vez em um dispositivo, o número de telefone é solicitado para enviar um código de verificação. Assim que o código é inserido, a chave do duplo fator de autenticação (2FA) é solicitada para confirmar a identidade do usuário. Esse ataque específico se aproveita, então, de um lapso na segurança dos dois processos independentes do WhatsApp.
Como não há como impedir que alguém use qualquer número no processo de verificação, se um invasor fizer isso, o usuário receberá chamadas e mensagens do WhatsApp com um código de verificação, junto com uma notificação solicitando que não compartilhe o código de registro com ninguém. O cibercriminoso pode fazer isso repetidamente e o usuário pode não prestar atenção às mensagens, considerando que é um erro.
Essas solicitações, por sua vez, acionam o limite do WhatsApp para o número de vezes que os códigos podem ser enviados e também faz com que o código seja bloqueado após várias tentativas mal sucedidas, em ambos os casos por 12 horas.
Durante esse tempo, o aplicativo irá continuar funcionando normalmente, mas o invasor terá bloqueado a capacidade de enviar um novo código ou inseri-lo na tela de verificação. Portanto, o tempo de inatividade pode não afetar o usuário, a menos que ele efetue logout durante esse período.
Desativação
Diante disso, o invasor pode, então, criar um novo endereço de e-mail e enviar uma mensagem para a equipe de suporte do WhatsApp com o assunto "telefone perdido/roubado", na qual irá solicitar a desativação do número do usuário. A plataforma, aparentemente, irá verificar a "identidade" apenas enviando um e-mail automático solicitando o número de telefone do usuário. Dessa forma, o criminoso irá se fazer passar pela identidade do usuário legítimo.
Após esta etapa, o WhatsApp irá desativar a conta do usuário e, com o limite de tentativas de verificação ultrapassado, a vítima não poderá fazer login até 12 horas depois e o código de verificação precisa ser solicitado novamente.
Se o invasor não parar e decidir repetir esse processo por três vezes consecutivas, que aciona o bloqueio de 12 horas, o WhatsApp irá falhar e exibir uma mensagem dizendo "tente novamente".
Os pesquisadores alertam que, se o invasor chegar a esse ponto, não haverá como o usuário recuperar a conta a menos que encontre alguém no WhatsApp disposto a ajudar.
De acordo com o especialista em segurança da ESET Jake Moore, a nova falha deve ser levada a sério, especialmente porque pode afetar milhões de pessoas e é fácil de ser feita.
“Não há como optar por não ser descoberto no WhatsApp. Qualquer pessoa pode digitar um número de telefone para ver se há uma conta associada. Além disso, melhorar a privacidade ajudaria a proteger os usuários contra isso, além de forçar as pessoas a implementar um PIN de verificação em duas etapas", disse.