Entre nos nossos canais do Telegram e WhatsApp para notícias em primeira mão.
Telegram: [link do Telegram] WhatsApp: [link do WhatsApp]
Uma advertência urgente foi emitida para os usuários do WhatsApp após especialistas em cibersegurança descobrirem uma grave vulnerabilidade. Pesquisadores afirmam que uma simples falha permitiu que eles acessassem 3,5 bilhões de perfis no aplicativo de mensagens de propriedade da Meta. Embora as mensagens dos usuários permaneçam criptografadas, os pesquisadores dizem que conseguiram coletar grandes quantidades de ‘metadados’. Isso lhes permitiu descobrir informações pessoais, como números de telefone, localização, tipo de dispositivo e a idade da conta de alguém.
Conforme relatado pela imprensa internacional, especialistas da Universidade de Viena e da SBA Research relataram que uma fraqueza de segurança permitiu que eles explorassem o mecanismo de descoberta de contatos embutido do WhatsApp. Normalmente, esse mecanismo permite que o aplicativo acesse a lista de contatos de um usuário para encontrar outros usuários do WhatsApp por meio de seus números de telefone. No entanto, os pesquisadores descobriram que não havia limites sobre quantos contatos este mecanismo poderia procurar. Explorando essa falha, os pesquisadores conseguiram pesquisar através de 100 milhões de números de telefone a cada hora e acessar bilhões de perfis de usuários. O autor principal, Gabriel Gegenhuber, pesquisador da Universidade de Viena, diz: ‘Normalmente, um sistema não deveria responder a um número tão alto de solicitações em um tempo tão curto – particularmente quando originadas de uma única fonte. Esse comportamento expôs a falha subjacente, que nos permitiu emitir solicitações efetivamente ilimitadas ao servidor e, assim, mapear dados de usuários em todo o mundo.’
Usando essa técnica, os pesquisadores revelaram um incrível arquivo de dados de contas do WhatsApp em 245 países. Trabalhando ao lado dos pesquisadores, a Meta diz que agora ‘abordou e mitigou o problema’. Nitin Gupta, Vice Presidente de Engenharia do WhatsApp, afirma: ‘Somos gratos aos pesquisadores da Universidade de Viena por sua parceria responsável e diligência sob nosso programa de recompensas por bugs. Esta colaboração identificou com sucesso uma técnica de enumeração nova que ultrapassou nossos limites pretendidos, permitindo que os pesquisadores capturassem informações básicas publicamente disponíveis. Já estávamos trabalhando em sistemas antiraspagem líderes na indústria, e este estudo foi instrumental em testar e confirmar a eficácia imediata dessas novas defesas. Importante, os pesquisadores apagaram com segurança os dados coletados como parte do estudo, e não encontramos evidências de atores maliciosos abusando desse vetor.’ Gupta também ressalta que as mensagens dos usuários permaneceram seguras e privadas e que a criptografia de ponta a ponta do WhatsApp não foi comprometida em nenhum momento.
No entanto, os pesquisadores argumentam que seu estudo mostra o risco de ‘centralizar’ a troca de mensagens do mundo em apenas alguns aplicativos. Os dados públicos que estavam inicialmente disponíveis para os pesquisadores eram simplesmente os tipos de informação que qualquer pessoa com o número de telefone de um usuário poderia ver. No entanto, eles também conseguiram extrair informações adicionais, permitindo determinar o sistema operacional do usuário, a idade da conta e o número de dispositivos acessórios vinculados. Em países como Estados Unidos, Brasil e México, havia dados suficientes para identificar a localização de um usuário até o estado. Isso poderia levar a uma pessoa ser alvo de chamadas fraudulentas ou outros ataques. Coautor Dr. Aljosha Judmayer declara: ‘A criptografia de ponta a ponta protege o conteúdo das mensagens, mas não necessariamente os metadados associados. Nosso trabalho mostra que riscos à privacidade também podem surgir quando esses metadados são coletados e analisados em grande escala.’ Usando os dados coletados pela demonstração da vulnerabilidade, os pesquisadores puderam revelar alguns detalhes surpreendentes sobre os usuários globais do WhatsApp. Por exemplo, os pesquisadores descobriram que há milhões de contas ativas do WhatsApp em países onde a plataforma é oficialmente banida. Esses incluem China, Irã e Myanmar, que têm acesso controlado a serviços de internet globais.
