As falhas foram relatadas ao Facebook no final de 2018 e um dos métodos de exploração já foi corrigido. A empresa diz, no entanto, que é falso sugerir que há uma vulnerabilidade na segurança da aplicação.
Uma vulnerabilidade no WhatsApp permite alterar mensagens enviadas de forma privada e em grupo. Caso um atacante se aproveite dessas falhas, o mesmo poderia criar informações falsas e fraudes, publicou a BBC.
Durante uma apresentação realizada na conferência Black Hat, um evento que decorreu entre 3 a 8 de agosto, em Las Vegas, os investigadores, Dikla Barda, Roman Zaikin e Oded Vanunu, apresentaram uma ferramenta usada como prova de conceito.
A vulnerabilidade pode ser explorada através de três métodos de ataque diferentes que envolvem o uso de técnicas de engenharia social para enganar o utilizador final, explicaram os investigadores da CheckPoint.
O primeiro método é o uso do recurso “citação” numa conversa em grupo para alterar a identidade da pessoa que a envia, mesmo que não seja membro do grupo. O segundo método passa por modificar o texto de uma resposta, enquanto que o terceiro método permite enganar um utilizador, fazendo com que ele acredite que estava a enviar uma resposta privada para uma única pessoa, quando na verdade estava a enviar para todo um grupo.
A falha que permite o terceiro método de exploração já foi corrigida pelo Facebook, mas Vanunu disse à BBC que a empresa proprietária do WhatsApp explicou que os outros problemas não puderam ser resolvidos devido a limitações de infraestrutura no WhatsApp. De acordo com o meio, a tecnologia de encriptação usada pela aplicação torna extremamente difícil para a empresa monitorizar e verificar a autenticidade das mensagens enviadas pelos utilizadores.
Por outro lado, e questionado sobre os motivos de lançar uma ferramenta que poderia facilitar a exploração da falha por terceiros, o investigador Vanunu disse que espera que o assunto provoque discussões.
“A empresa verificou este assunto há um ano e diz que é falso sugerir que existe uma vulnerabilidade de segurança no WhatsApp”, disse um porta-voz do Facebook à Bloomberg. Por outro lado, o WhatsApp destaca que “o cenário descrito pelos investigadores equivale a alterar respostas numa troca de e-mails para fazer parecer algo que uma pessoa não disse”. A empresa acrescentou ainda que “precisamos ficar atentos ao facto de que endereçar as preocupações levantadas pelos investigadores poderia o WhatsApp menos privado – a partir do momento em que passaríamos a armazenar informações sobre a origem das mensagens”, afirmou a empresa.