Segundo Jake Moore, especialista em segurança da ESET, a nova falha do WhatsApp deve ser levada a sério
No mundo virtual, já nos acostumamos com “golpes” que atentam contra nossa privacidade. Mas os cibercriminosos estão sempre criando novos métodos para burlar a suposta segurança de aplicativos e redes, o que exige constante atenção por parte de seus usuários.
Uma nova modalidade de “falcatrua” virtual tem causado dores de cabeças aos usuários do WhatsApp. Segundo a ESET, empresa líder em detecção proativa de ameaças, o golpe ocorre assim: ao configurar uma conta WhatsApp pela primeira vez em um dispositivo, o número de telefone é solicitado para enviar um código de verificação. Logo que o código é inserido, a chave do duplo fator de autenticação (2FA) é solicitada para confirmar a identidade do usuário. Esse ataque específico se aproveita de um lapso na segurança de dois processos independentes do WhatsApp.
Não é possível, porém, impedir que alguém use qualquer número no processo de verificação. Se um invasor fizer isso, o usuário receberá chamadas e mensagens do WhatsApp com um código de verificação, junto com uma notificação solicitando que não compartilhe o código de registro com ninguém. O cibercriminoso pode fazer isso repetidamente e o usuário pode não dar a devida atenção às mensagens.
Duplo fator de autenticação
Eventualmente, o excesso de solicitações acaba por acionar o limite do WhatsApp para o número de vezes que os códigos podem ser enviados. Além disso, faz com que o código seja bloqueado após várias tentativas mal sucedidas (em ambos os casos por 12 horas). Nesse ínterim, o aplicativo continuará a funcionar, mas o invasor terá bloqueado a capacidade de enviar um novo código ou inseri-lo na tela de verificação. Portanto, o tempo de inatividade pode não afetar o usuário, a menos que ele efetue logout durante esse período.
A partir daí, o invasor pode criar um novo endereço de e-mail e enviar uma mensagem para a equipe de suporte do serviço, com o assunto “telefone perdido/roubado”, solicitando a desativação do número em questão. A verificação da identidade do usuário será feita pela plataforma, de maneira muito ineficaz – apenas com o disparo automático de um e-mail solicitando o número de telefone. E desse modo, o criminoso se faz passar pelo legítimo proprietário da conta.
O WhatsApp, então, irá desativar a conta e, com o limite de tentativas de verificação ultrapassado, o usuário não poderá fazer login até 12 horas depois e o código de verificação precisa ser solicitado novamente. Infelizmente, se o invasor não parar e decidir repetir esse processo três vezes consecutivas, o WhatsApp passará por uma falha e exibirá uma mensagem dizendo “tente novamente após 1 segundo”. Os pesquisadores alertam que, se o invasor chegar a esse ponto, o usuário dificilmente será capaz de recuperar a sua conta.
Em declarações à revista Forbes, um porta-voz do WhatsApp disse que “fornecer um endereço de e-mail e duplo fator de autenticação ajudará nossa equipe de atendimento ao cliente a ajudar as pessoas caso encontrem esse problema. As circunstâncias identificadas por este investigador violariam nossos termos de serviço e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte, para que possamos investigar”.
Recentemente, o especialista em segurança da ESET, Jake Moore, mostrou como alguém pode assumir o controle de sua conta do WhatsApp apenas sabendo seu número de telefone. Segundo o expert, a nova falha deve ser levada a sério. “Não há como optar por não ser descoberto no WhatsApp. Qualquer pessoa pode digitar um número de telefone para ver se há uma conta associada. Além disso, melhorar a privacidade ajudaria a proteger os usuários contra isso, além de forçar as pessoas a implementar um PIN de verificação em duas etapas”, concluiu Moore.
