PUBLICIDADE
Topo

Brasileiros dizem ter achado falha de segurança no WhatsApp Web; app nega

Reprodução
Imagem: Reprodução

Lucas Carvalho

De Tilt, em São Paulo

27/07/2021 12h26

Pesquisadores brasileiros dizem ter descoberto uma brecha no WhatsApp Web, a versão para computador do aplicativo, que permite que um invasor tenha acesso às mensagens de qualquer pessoa sem deixar rastros. Os detalhes da falha não foram divulgados, porque ela ainda não foi corrigida.

Lierte Bourguignon, diretor de segurança na ISH Tecnologia, diz que a brecha foi descoberta em 14 de julho e reportada ao Facebook, dono do WhatsApp, no mesmo dia. A última resposta do Facebook teria sido de que a empresa estava verificando o caso.

Procurado pela reportagem, o WhatsApp confirmou que recebeu o alerta e sugeriu que o problema não está no app. A criptografia das mensagens continua funcionando normalmente, e a brecha então não seria de sua responsabilidade.

Como funciona a falha

"Descobrimos uma falha no Whatsapp Web que permite a um atacante, sem um alto conhecimento técnico, ganhar acesso às mensagens, contatos e dados do WhatsApp do alvo", disse Julio Martins, diretor técnico da L1 Smart Solutions, a Tilt.

Segundo ele, o invasor consegue acesso ao WhatsApp pelo computador sem precisar fazer a leitura do código QR exigida no início de toda sessão online do aplicativo. Isso acontece inclusive em contas que usam autenticação em dois fatores.

A brecha é mais facilmente explorada se o invasor tiver acesso físico ao computador em que a vítima usa o WhatsApp Web, mas também poderia ser aproveitada remotamente se o hacker conseguir instalar um vírus no PC do alvo.

A falha teria sido descoberta no mesmo dia em que o WhatsApp iniciou testes para permitir que as pessoas usem o aplicativo em até quatro aparelhos ao mesmo tempo e reestruturar a maneira como as mensagens são criptografadas. Não está confirmada que a novidade, ainda em fase de testes, está relacionada ao acesso fácil às mensagens.

O que fazer?

Os pesquisadores dizem que divulgaram a falha antes que ela fosse corrigida "pensando nos usuários". Em tempos de pandemia e home office, "que as pessoas estejam cientes dos riscos" enquanto o fabricante soluciona o problema, ressaltou Martins.

O WhatsApp alega que a falha se aproveita da vulnerabilidades do sistema operacional dos computadores ou de um acesso físico não autorizado ao seu computador e deu passou orientações genéricas.

"Recomendamos que os usuários mantenham seus aplicativos e sistemas operacionais atualizados, baixem as atualizações sempre que estiverem disponíveis e desconectem de dispositivos que estejam conectados à sua conta, mas que não sejam conhecidos", disse um porta-voz da empresa.

O WhatsApp afirmou que "trabalha regularmente com pesquisadores de segurança para melhorar as diversas formas usadas pelo aplicativo para proteger as mensagens de seus usuários" e que "a criptografia de ponta a ponta continua funcionando como esperado".

Mesmo concordando que a brecha "exige do atacante escalar privilégios no sistema operacional", Bourguignon disse que ela poderia, sim, ser corrigida pelo WhatsApp com uma camada adicional de segurança. Para isso, valeria solicitar a autorização do usuário (via celular, por exemplo) para uma nova sessão.

"A falha que evidenciamos mostra que os métodos de proteção atuais não são suficientes", afirmou.

Até que a falha seja corrigida, os pesquisadores recomendam que todos façam logout (desconectem) do WhatsApp Web depois de usar. "É uma falha incontornável", disse Martins.