Falha de segurança do WhatsApp expõe privacidade de usuários
10 de Setembro de 2024

Um defeito de privacidade no WhatsApp está sendo explorado por atacantes para contornar o recurso "Ver uma vez" do app e visualizar as mensagens novamente.

A Meta afirma que o recurso "Ver uma vez" do WhatsApp, introduzido há três anos, permite que os usuários compartilhem fotos, vídeos e mensagens de voz de maneira privada, garantindo que o destinatário não possa encaminhar, compartilhar, copiar ou tirar screenshots das mensagens, pois elas desaparecerão automaticamente dos chats após serem abertas uma vez.

"Uma vez que você envia uma foto, vídeo ou mensagem de voz com visualização única, você não poderá vê-la novamente", explica a empresa em seu site de suporte.

Qualquer foto ou vídeo que você enviar não será salvo nas Fotos ou na Galeria do destinatário.

O destinatário também não poderá tirar uma captura de tela de nada que você enviar usando a visualização única.

Contudo, o recurso "Ver uma vez" só bloqueia os usuários do WhatsApp de tirarem screenshots do que está sendo enviado em dispositivos móveis, pois as plataformas desktop e web não suportam o bloqueio de screenshots.

Além disso, a Zengo X Research Team descobriu que a Meta implementou esse recurso de uma maneira que os pesquisadores descreveram como "negligente", permitindo que atacantes salvem e compartilhem cópias facilmente das mensagens "Ver uma vez".

"Nós divulgamos nossas descobertas de maneira responsável para a Meta, mas quando percebemos que o problema já estava sendo explorado em campo, decidimos torná-lo público para proteger a privacidade dos usuários do WhatsApp", disse Tal Be'ery, CTO da Zengo.

Como os pesquisadores de segurança da Zengo descobriram, o recurso "Ver uma vez" é usado para enviar mensagens de mídia criptografadas para todos os dispositivos do destinatário, mensagens que são quase idênticas a uma normal, mas incluem uma URL para os dados criptografados hospedados no servidor web do WhatsApp ("blob store") e a chave para descriptografá-lo.

Além disso, as mensagens "Ver uma vez" configuram uma flag "Ver uma vez" para "true".

Be'ery explicou que o recurso "Ver uma vez" do WhatsApp permite que os usuários enviem mensagens que deveriam ser vistas apenas uma vez.

No entanto, as mensagens são enviadas para todos os dispositivos do receptor, incluindo aqueles não autorizados a exibi-las.

Adicionalmente, as mensagens não são imediatamente excluídas dos servidores do WhatsApp após o download.

Isso torna impossível limitar a exposição da mídia a ambientes e plataformas controlados, especialmente porque algumas versões das mensagens "Ver uma vez" também contêm visualizações de mídia de baixa qualidade que podem ser visualizadas sem download.

As mensagens "Ver uma vez" funcionam como mensagens regulares, mas com uma flag "Ver uma vez".

No entanto, atacantes podem contornar esse recurso de privacidade configurando essa flag "ver uma vez" para false, permitindo que a mensagem seja baixada, encaminhada e compartilhada.

"A privacidade é crítica para Mensagens Instantâneas.

O WhatsApp reconheceu isso ao suportar a criptografia de ponta a ponta (E2EE) para as conversas de seus usuários por padrão", concluiu Be'ery.

No entanto, a única coisa pior do que nenhuma privacidade é uma falsa sensação de privacidade, na qual os usuários são levados a acreditar que algumas formas de comunicação são privadas, quando, na verdade, não são.

Atualmente, o 'Ver uma vez' do WhatsApp é uma forma crua de falsa privacidade e deveria ser completamente corrigido ou abandonado.

Embora os pesquisadores da Zengo sejam os primeiros a reportar o problema para a Meta e publicar um relatório detalhando esta questão de privacidade, o defeito vem sendo explorado para salvar mensagens "Ver Uma Vez" por pelo menos um ano, com aqueles explorando-a até criando complementos de navegador para simplificar todo o processo.

A Meta disse em comunicado que está atualmente implementando mudanças no recurso "Ver Uma Vez".

Embora uma correção esteja chegando para o WhatsApp Web, não está claro se o defeito de privacidade ainda poderia ser explorado usando apps customizados do WhatsApp.

"Nosso programa de recompensas por bugs é uma maneira importante de recebermos feedback valioso de pesquisadores externos e já estamos no processo de implementar atualizações para a visualização única na web", disse um porta-voz do WhatsApp.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...