Duas falhas de segurança do WhatsApp divulgadas esta semana podem fazer com que ainda mais usuários deixem de usar o aplicativo. Pelas brechas descobertas, é possível espionar a atividade de usuários e até mesmo bloquear a conta de uma pessoa remotamente.

Confira dicas para ficar seguro na internet após um dos maiores vazamentos de dados do Brasil

A possibilidade de uso para as falhas é limitada, pois elas não permitem o vazamento de informações ou roubo de dados. Mesmo assim elas são preocupantes, pois não precisam sequer de acesso físico ao aparelho de uma pessoa, sendo exploradas apenas com o número do celular.

Falha no WhatsApp permite “espionar” se pessoas conversam entre si

A primeira falha explora um recurso muito simples do WhatsApp. O aplicativo exibe se o usuário está online para qualquer pessoa que tenha o número adicionado – mesmo se o próprio usuário não tiver esta pessoa pessoa entre seus contatos.

Com isso, serviços de monitoramento foram criados, permitindo “vigiar” em que momentos uma pessoa acessou o aplicativo. Somente essa função já é preocupante, pois cria uma listagem com todas as vezes que alguém abriu o WhatsApp, o que já pode ser considerada uma falha de segurança.

Os serviços, no entanto, vão além. É possível adicionar diversos números para monitoramento, e checar se os horários em que estiveram online no WhatsApp são os mesmos, o que poderia indicar, monitorando pessoas que se conhecem, que elas estão conversando entre si.

Nas configurações de privacidade do aplicativo, o WhatsApp permite desabilitar as opções “visto por último”, que mostra quando a pessoa acessou o mensageiro, e “visualizado”, que indica se uma mensagem foi lida. É possível restringir essas informações – e a foto de perfil – somente a pessoas que você tem o contato salvo, ou impedir que qualquer pessoa veja estes dados.

Não há, porém, nenhuma configuração que permita ao usuário esconder que está online, nem limitar esta informação somente aos próprios contatos. Deste modo, a falha é da própria maneira como o WhatsApp foi construído, sendo necessário que a empresa decida mudar o funcionamento do aplicativo para corrigir o problema.

Brecha do WhatsApp pode bloquear contas só com o número de telefone

Outra falha simples, porém também grave, permite a pessoas mal intencionadas bloquear qualquer conta do aplicativo somente com o número de celular do usuário. É necessário cerca de dois dias para explorar a brecha, mas qualquer pessoa pode ser vítima.

Isso acontece porque, ao tentar acessar uma conta do WhatsApp em um novo celular, o aplicativo envia um SMS com um código de ativação para o número. Em muitos casos, golpistas se passam por funcionários de empresas ou órgãos do governo e tentam, por ligação ou mensagem, que o usuário informe este código para ter seu WhatsApp clonado. Neste caso, porém, não é necessário receber o código, pois o objetivo é digitá-lo incorretamente – após algumas tentativas erradas, o aplicativo bloqueia o acesso em novos aparelhos por 12 horas.

Ao repetir este processo de digitar um código incorreto por três vezes, a conta do WhatsApp é bloqueada para acessar novos aparelhos. O celular em que ele está originalmente instalado, porém, continua funcionando normalmente. Até este ponto, a vítima não terá problemas enquanto não trocar de aparelho.

O golpe, porém, vai mais a fundo. Para casos em que um celular é perdido ou roubado, o WhatsApp tem um serviço que o usuário pode solicitar, por email, o bloqueio do aplicativo naquele celular. Não é preciso apresentar nenhuma confirmação de que a pessoa realmente é dona da linha de celular que deseja bloquear, apenas enviar um email com o número. O WhatsApp então enviará uma resposta automática pedindo a confirmação do número e, após isso, desativará a conta automaticamente.

Deste modo, a instalação do WhatsApp da vítima – que até aquele momento estava funcionando, apesar de não poder ser ativada em outros aparelhos – irá parar de funcionar. Ao tentar acessar novamente o aplicativo, o usuário irá receber a informação de que a conta não pode ser ativada, pois está bloqueada para receber os códigos de segurança.

Contatada pela revista Forbes, o WhatsApp disse que o ataque é “improvável de acontecer” com a maioria dos usuários. Mesmo bastando somente um número de celular para explorar a falha, a empresa não deu sinais de que mudará os processos de bloqueio e exclusão de contas para uma alternativa que não tenha essa brecha.

Fonte: OPOVO