PUBLICIDADE
Topo

WhatsApp cria site para listar todas as falhas de segurança vistas no app

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Rodrigo Trindade

De Tilt, em São Paulo

03/09/2020 18h00

Sem tempo, irmão

  • Página visa informar usuários e pesquisadores sobre vulnerabilidades já corrigidas
  • Facebook diz que golpes de roubos de conta do WhatsApp não se enquadram como bugs
  • Empresa também anunciou nova política de segurança aplicada a aplicativos de terceiros

O WhatsApp lançou nesta quinta-feira (3) um site dedicado às iniciativas de segurança do aplicativo e com comunicados sobre bugs já corrigidos do serviço. A página vai informar usuários sobre a necessidade de atualizar o app e trazer dados para quem trabalha com segurança da informação.

O novo recurso foi apresentado por Nathaniel Gleicher, diretor de políticas de segurança do Facebook —empresa que é dona do WhatsApp. Até então, o protocolo do WhatsApp para informar correções de falhas era feito pelo site CVE, da ONG americana Mitre. Isso porque as políticas e práticas das lojas de aplicativos App Store (iOS) e Play Store (Android) nem sempre permitem esse tipo de listagem de erros.

Com o novo site, a empresa busca criar sua central de segurança, com acesso fácil e público aos bugs detectados a partir de análises internas, por sistemas automatizados e pelo programa de recompensas a pesquisadores mantido por WhatsApp e Facebook.

"O que queremos é uma maneira de unir todos os bugs que encontramos, todos as atualizações de segurança que temos para que pesquisadores de segurança possam encontrar isso, entender o que está acontecendo e ter a expectativa de que receberão novidades regularmente", afirmou Gleicher.

No lançamento do site, a empresa compartilhará dados sobre seis vulnerabilidades e exposições de segurança da informação (CVEs, na sigla em inglês) identificados no WhatsApp —que, segundo a empresa, não chegaram a ser explorados. Todas as brechas divulgadas já foram corrigidas, o que é de praxe na indústria.

As atualizações para as falhas foram feitas, na maioria dos casos, em menos de um dia. Segundo Gleicher, cerca de dois terços dos bugs são identificados internamente por pesquisadores ou sistemas automatizados, enquanto o outro terço é achado por "caçadores de recompensas".

As falhas divulgadas nada têm a ver com os recorrentes golpes de roubo de conta do WhatsApp no Brasil —no qual criminosos buscam o código de confirmação de conta enviado por SMS, usando "phishing" e vários tipos de fraude ou lorota— ou pedidos de dinheiro a contatos do perfil sequestrado. Esses golpes não são falhas do sistema do WhatsApp na prática. Eles usam engenharia social para convencer os usuários a ceder seu código SMS e perder o acesso à conta.

Mas segundo Gleicher, este tipo de problema não é exclusivo do Brasil e está sob análise na empresa. "Você não consegue fazer esses atores pararem [de tentar obter o código SMS]. Eles sempre tentarão fazer isso porque é uma estrutura de comunicação que sustenta tudo. Avaliamos algumas maneiras diferentes para tentar controlar isso. Posso dizer, em linhas gerais, que estamos pensando sobre esse problema e temos trabalhado nele", destacou.

Que erros ocorreram?

Um exemplo do que será divulgado pelo site é um bug que podia permitir a descoberta do endereço de IP de um usuário do WhatsApp no Android a partir de stickers enviados. Com esta informação, seria possível estimar uma localização geográfica do emissor da mensagem. Esta falha de segurança foi corrigida em questão de horas e não foi explorada, de acordo com a empresa.

"Como todos os CVEs que estamos anunciando hoje, não temos evidência de que este foi explorado. Mas isso não significa que este era um bug insignificante. Queremos garantir que ele foi tanto corrigido, como que as pessoas tenham sido avisadas sobre ele", declarou o diretor do Facebook.

Gleicher ainda informou que outras brechas públicas, como o hack protagonizado pela empresa israelense NSO para espionagem política de usuários, não fazem parte deste pacote inicial de divulgação, por já terem sido abordados em outras ocasiões — inclusive via ações judiciais.

Nova política do Facebook

Nesta quinta-feira, o Facebook também lançou novas políticas de segurança sobre a relação com aplicativos terceiros acessados dentro da rede social.

De acordo com a nova regra, se for identificado um problema em um aplicativo que não é do Facebook, a rede social informará os desenvolvedores o quanto antes sobre a vulnerabilidade. Após o aviso, eles terão 21 dias para corrigir o problema.

Caso não a falha não seja ajustada e também não haja indicativo de correção até 90 dias depois do alerta, o Facebook poderá torná-la pública, depois de avaliar se a divulgação não aumentará o risco à segurança do usuário.