Esta semana foram reveladas várias vulnerabilidades de segurança escondidas no WhatsApp que permitem aos atacantes manipular mensagens enviadas em conversas públicas ou privadas.

Uma das técnicas de ataque recorre à ferramenta de citação para alterar a mensagem ou o emissor original – ou seja, o atacante responde publicamente a uma mensagem que nunca foi enviada. Desta forma, os participantes que não estão atentos a todas as mensagens enviadas podem ser induzidos em erro. Outra vulnerabilidade permite que alguém envie uma mensagem privada disfarçada a outro participante numa conversa de grupo. Embora apenas um dos membros veja a mensagem original, a resposta ficará visível para todos os utilizadores da conversa.

Os esquemas foram divulgados – e demonstrados – na quarta-feira por investigadores da Check Point Research, uma empresa de segurança em Israel, durante a conferência de cibersegurança Black Hat, em Las Vegas, nos EUA. A equipa descreveu os problemas como o equivalente a “colocar palavras na boca de outras pessoas”. Ainda não se conhecem casos reais de exploração das falhas, mas a equipa detalha o processo num comunicado no seu site intitulado “FakesApp”.

Apesar de o Facebook (que comprou o WhatsApp em 2014) ter sido avisado das falhas no final de 2018, a empresa apenas conseguiu resolver um dos problemas – o que permitia enviar mensagens privadas, disfarçadas de públicas. Durante a apresentação na Black Hat, Oded Vanunu, responsável pela investigação da Check Point Research, disse que o Facebook atribuiu os problemas a “limitações que não podem ser resolvidas devido à estrutura e arquitectura [da aplicação]”.

Para garantir que as vulnerabilidades não passam despercebidas, os investigadores da Check Point Research lançaram uma ferramenta que permite a qualquer utilizador executar as manipulações. “Temos de garantir que amplificamos a temática”, justificou Vanunu.

Encriptação dificulta resolução do problema

Embora as mensagens enviadas no WhatsApp estejam todas encriptadas (para proteger o conteúdo original), os investigadores descobriram que com alguns conhecimentos técnicos é possível manipular o algoritmo de encriptação do WhatsApp para alterar alguns parâmetros visíveis no código informático. “Alguns parâmetros interessantes são ‘conversation’ (o conteúdo que foi enviado), ‘participant’ (o participante que enviou um conteúdo), “fromMe” (um parâmetro que sinaliza as mensagens enviadas pelo utilizador), ‘remoteID’ (sinaliza a que grupo ou contacto uma mensagens foi enviada) e ‘id’”, escrevem os investigadores da Check Point Research.

Na conferência, Vanunu explicou que uma das dificuldades apontadas pelo Facebook para resolver os problemas (e impedir atacantes de alterar os parâmetros) foi o facto de o sistema de encriptação do WhatsApp impedir a monitorização da autenticidade das mensagens.

O PÚBLICO tentou contactar a equipa da rede social para mais detalhes, mas não obteve resposta até à hora de publicação deste artigo.

Tal como o Facebook, nos últimos anos o Whatsapp tem sido acusado de servir de plataforma para a difusão de notícias falsas em todo o mundo. Na Índia, várias pessoas foram assassinadas em 2018 devido a informação falsa no WhatsApp. Rumores a alertar sobre grupos de raptores de crianças levaram multidões tomadas pelo medo em aldeias indianas a espancar vários homens até à morte. Muitas das vítimas coincidiam com as descrições dos criminosos. Para tentar resolver o caso, o Facebook diminuiu o número máximo de remetentes de uma mensagem de 20 para cinco e passou a clarificar quando uma mensagem é reencaminhada.

Mas os problemas identificados pela Check Point Research não estão isolados. No mês passado, a Symantec, uma empresa de cibersegurança nos EUA, tinha revelado outro problema que mostrava como os ficheiros que alguém recebe no WhatsApp podem não ser os mesmos que foram enviados. A vulnerabilidade – apelidada de media jacking – permitia que cibercriminosos interceptassem e mudassem imagens, fotografias e mensagens de áudio transferidas através da aplicação. Além do WhatsApp, também afecta o Telegram, uma aplicação russa de mensagens encritpadas. Mas esse problema, tem um arranjo fácil: basta os utilizadores desactivarem a funcionalidade que guarda ficheiros multimédia, automaticamente, num local de armazenamento externo (acessível em Definições > Conversas > Galeria).

Embora o Facebook ainda não tenha encontrado uma solução para todos os problemas encontrados pela Check Point Research, a equipa diz que ainda está em contacto com a rede social. A divulgação pública, esta semana, serve apenas para alertar os utilizadores de que com algum conhecimento de programação é possível manipular o conteúdo das mensagens.

“O WhatsApp tem mais de 1,5 mil milhões de utilizadores, mais de mil milhões de grupos, e 65 mil milhões de mensagens diárias. Com tanta conversa, o potencial para burlas, rumores e notícias falsas é enorme”, frisou a equipa da Check Point Research. “Por isso não ajuda se pessoas com más intenções tiverem armas adicionais no seu arsenal.”