Uma vulnerabilidade no WhatsApp permite alterar mensagens enviadas de forma privada e em grupo. Caso um atacante se aproveite dessas falhas, o mesmo poderia criar informações falsas e fraudes, publicou a BBC.
Durante uma apresentação realizada na conferência Black Hat, um evento que ocorre de 3 a 8 de agosto, em Las Vegas (EUA), os pesquisadores, Dikla Barda, Roman Zaikin e Oded Vanunu, apresentaram uma ferramenta usada como prova de conceito.
A vulnerabilidade pode ser explorada através de três métodos de ataque diferentes que envolvem o uso de técnicas de Engenharia Social para enganar o usuário final, explicaram os pesquisadores da empresa de cibersegurança CheckPoint.
O primeiro método é o uso do recurso "citação" em uma conversa em grupo para alterar a identidade da pessoa que a envia, mesmo que não seja membro do grupo. O segundo método é modificar o texto de uma resposta, enquanto o terceiro método permite enganar a um usuário, fazendo com que ele acredite que estava enviando uma resposta privada para uma única pessoa, quando na verdade estava enviando para todo um grupo.
A falha que permite o terceiro método de exploração já foi corrigida pelo Facebook, mas Vanunu disse à BBC que a empresa proprietária do WhatsApp explicou que os outros problemas não puderam ser resolvidos devido a limitações de infraestrutura no WhatsApp. De acordo com o jornal, a tecnologia de criptografia usada pelo aplicativo torna extremamente difícil para a empresa monitorar e verificar a autenticidade das mensagens enviadas pelos usuários.
Por outro lado, questionado sobre os motivos de lançar uma ferramenta que poderia facilitar a exploração da falha por terceiros, o pesquisador Vanunu disse que espera que o assunto provoque discussões.
"A empresa revisou esse assunto há um ano e diz que é falso sugerir que existe uma vulnerabilidade de segurança no WhatsApp", disse um porta-voz do Facebook à Bloomberg. Por outro lado, o WhatsApp destaca que “o cenário descrito pelos pesquisadores equivale a alterar respostas em uma troca de e-mails para fazer parecer algo que uma pessoa não disse”. A empresa também acrescentou que "precisamos ficar atentos ao fato de que endereçar as preocupações levantadas por esses pesquisadores poderia fazer o WhatsApp menos privado - como armazenando informações sobre a origem das mensagens", afirmou a empresa.