Uma vulnerabilidade no WhatsApp está permitindo que golpistas e spammers adicionem usuários a grupos não autorizados, enviem mensagens e subsequente os excluam antes que estes possam denunciar o contato.
Essa manobra consegue contornar as configurações de privacidade que permitem a adição em grupos somente por contatos na lista de contatos, tornando mais complicado para os usuários denunciarem o abuso diretamente pelo chat.
O problema foi identificado na versão Web do WhatsApp, onde o grupo criado erroneamente é visível, mas não na aplicação móvel; até o momento, o WhatsApp não forneceu informações sobre uma solução para esse defeito.
A falha está sendo explorada por golpistas e spammers para adicionar usuários a grupos, mesmo que estes tenham configurado suas contas para apenas permitir adições por pessoas em sua lista de contatos.
Utilizando essa brecha, os mal-intencionados enviam ofertas duvidosas e, ao excluir rapidamente o usuário do grupo, dificultam a ação de denunciar e bloquear o número, uma vez que o usuário é removido antes de ter a chance de agir diretamente pelo chat.
Os golpistas e spammers estão explorando uma brecha nas configurações de privacidade do WhatsApp, que deveriam proteger os usuários de serem adicionados a grupos indesejados.
Se aproveitando dessa falha, conseguem burlar a segurança e realizar suas ações maliciosas.
Na versão Web do WhatsApp, a mensagem fraudulenta aparece como uma resposta a um status publicado pelo próprio aplicativo.
Porém, se o usuário acessar o WhatsApp pelo smartphone, o grupo ao qual foi indevidamente adicionado não será visível.
Como já mencionado, ao enviar a mensagem e remover o usuário imediatamente, os golpistas impedem qualquer reação rápida por parte deste, que, normalmente, teria a opção de denunciar ou bloquear o contato suspeito em um novo chat.
Assim, a vítima necessitaria acessar o contato para poder reportar o caso à empresa Meta, responsável pelo WhatsApp.
Essa dificuldade acaba desmotivando muitos que são alvo dessa tática a não denunciarem o ocorrido.
No Reddit, surge a hipótese de que essa manipulação se dá porque o WhatsApp verifica a lista de contatos somente após a criação do grupo, permitindo que o golpista/spammer adicione e envie a mensagem rapidamente antes que o aplicativo reconheça que um não contato foi adicionado.
Essa teoria ganha força ao considerar que a Meta parece negligenciar a versão Web do WhatsApp, onde o grupo adicionado erroneamente só é visível, possivelmente priorizando que a verificação de contatos e exclusão de grupos permaneçam invisíveis no app para smartphones.
Outra possibilidade é que a vulnerabilidade esteja relacionada à funcionalidade de status do aplicativo, considerando que os relatos indicam que as mensagens dos grupos partem como respostas ao status publicado pelo próprio WhatsApp.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...