Falha do WhatsApp permite bloquear qualquer conta em 5 minutos

Investigadores especializados em segurança cibernética, Luis Márquez Carpintero e Ernesto Canales Pereña, descobriram um método que permite bloquear o acesso a qualquer conta de Whatsapp, através de um processo que não leva muito mais do que cinco minutos. Tudo devido a uma vulnerabilidade descoberta na plataforma, o que pode afetar milhões de pessoas em todo o mundo.

Como os investigadores explicaram à Forbes, os atacantes só precisarim saber o número de telefone das suas vítimas para realizar o ataque. Tendo em conta que o próprio Facebook divulgou os números de telefone de mais de meio milhão de pessoas, não deve ser muito difícil para esses invasores encontrar o número dos seus alvos.

Qual é a vulnerabilidade?

O processo de verificação de dois fatores que o WhatsApp habilita por padrão ao criar uma conta no serviço é um dos elementos mais fracos da aplicação, uma vez que o fator humano entra em jogo e os atacantes podem tirar vantagem disso para aceder às contas das suas vítimas.

O funcionamento deste sistema é simples: quando fazem o Download a aplicação WhatsApp num Smartphone, é solicitado que insiram o vosso número do telefone e, mais tarde, um código recebido por SMS serve para verificar a conta. Se o código estiver correto, a aplicação solicitará o código de verificação de dois fatores para identificar o utilizador.

Não obstante, qualquer um pode inserir o número de telefone de outra pessoa ao instalar o WhatsApp num dispositivo. Quando um invasor pretende bloquear a conta da sua vítima, ele terá apenas que inserir o número deste, e solicitar o código de verificação que permite verificar a conta.

O problema é que, quando um determinado número de códigos é solicitado num curto espaço de tempo, o WhatsApp irá bloquear a tentativa de acesso à conta por 12 horas, para evitar novas tentativas de login. Isto, em princípio, não deve ser um problema para a vítima a menos que precise sair da sua conta – por exemplo, para trocar de smartphone.

Mas é neste momento que o atacante vai realizar a última etapa no seu objetivo de bloquear a conta da sua vítima. Para fazê-lo, envia uma mensagem de e-mail para o suporte do WhatsApp, a pedir o encerramento da conta, alegando que pode ter sido roubada. Esta mensagem contém o número de telefone da vítima.

Pouco tempo depois, um e-mail gerado automaticamente pelo WhatsApp é recebido pelo atacante, indicando que a conta do WhatsApp foi suspensa com sucesso. E logo de seguida, a vítima vê a sua conta do WhatsApp excluída do seu smartphone, e o utilizador ficará impedido de usar a aplicação de mensagens.

Ao tentar fazer login na aplicação a vítima vê uma restrição que impede a receção de novos códigos de verificação antes de 12 horas, devido ao bombardeio de tentativas de login feitas pelo invasor há alguns minutos. E se tentar inserir qualquer um dos códigos que foram recebidos anteriormente por SMS, o tempo de uspensão continuará a aumentar.

Resta tentar entrar em contato com o suporte técnico do WhatsApp em pesquisa de uma solução.

Infelizmente, O WhatsApp não parece ter a intenção de implementar uma solução eficaz para este problema. Eles alegam que “as circunstâncias identificadas pelos investigadores violariam os termos de serviço”, mas duvido que isso seja um problema para eventuais invasores.

Uma das maneiras de tentar minimizar este tipo de ataques é ativar o sistema de verificação em duas etapas no WhatsApp e associar um endereço de e-mail. Isso pode facilitar as coisas ao tentar recuperar a vossa conta. Ou então, podem fazer como Mark Zuckerberg e mude para uma alternativa mais segura, como SIgnal