A falha foi detectada na Alemanha, pelos pesquisadores da Ruhr University Bochum. A brecha no aplicativo de mensagens instantâneas, WhatsApp, possibilita adicionar contatos em grupos mesmo sem a permissão do administrador. Com isso, a pessoa infiltrada consegue ter acesso a todas as conversas de determinado grupo.

Desta forma, são levantadas algumas dúvidas quanto a criptografia do aplicativo, que desde 2016 foi aplicada no WhatsApp, onde a empresa afirma que nem mesmo ela consegue ter acesso as mensagens dos usuários.

Porém, através desta brecha encontrada no sistema do aplicativo, qualquer pessoa, inclusive um funcionário do aplicativo de mensagens poderia utilizar a falha para adicionar um membro e ler todas as mensagens trocadas posteriormente entre os participantes do grupo.

Como regra, somente o administrador do grupo pode fazer convites para adicionar novos participantes, mas o maior problema consiste em não ser necessária a autenticação destes convites, o que por exemplo, pode deixar o controle do servidor vulnerável, hackers poderiam adicionar contatos em um grupo, sem a permissão do administrador e dos participantes do grupo.

Assim, o usuário infiltrado teria acesso e passaria a usufruir de todos os privilégios dos participantes, pois todos os membros contam com chave criptografada e com isso, o infiltrado conseguiria ler todas as conversas ao ser adicionado. Porém, as mensagens antigas do grupo não podem ser visualizadas.

Através da brecha, hackers conseguem atrasar o alerta de adição de novos membros.
Através da brecha, hackers conseguem atrasar o alerta de adição de novos membros.

Entretanto, o grupo todo estaria recebendo o alerta da adição de um novo contato, como acontece em outros casos de inclusão de novos participantes. Mas de acordo com os pesquisadores, os hackers conseguiriam atrasar este tipo de alerta, o que faz com que a grande parte das conversas sejam visualizadas pelo intruso sem que ele seja percebido no grupo.

A brecha encontrada pelos pesquisadores gera uma certa desconfiança quanto ao sistema de criptografia do WhatsApp que seria altamente seguro. No Brasil, o aplicativo já foi bloqueado diversas vezes por não colaborar com a Justiça, ou seja, por dizer não conseguir acessar as conversas dos usuários do aplicativo. Já outros países para garantir a segurança sugeriram que o app devolva o backdoor, uma maneira de acessar as conversas dos usuários do WhatsApp.

Explicação do WhatsApp

A companhia ressaltou que a falha que permite a adição de pessoas em grupos não será corrigida, isso porque é muito difícil que essa vulnerabilidade seja explorada. A explicação do WhatsApp, é de que a invasão seria detectada pelo servidor ou então rapidamente identificada através dos alertas da inclusão de novos membros.

Outro motivo pelo qual a empresa opta por não corrigir a brecha é que no caso de modificar a tecnologia para solucionar este tipo de ataque, acabaria fazendo com que o recurso para adicionar novos membros fosse eliminado, dependendo da URL clicada.

A falha foi detectada pelos pesquisadores em julho de 2017, logo após a empresa modificou o sistema de segurança do aplicativo, fazendo com que ficasse ainda mais difícil identificar as mensagens, mesmo se o invasor conseguisse decifrar a chave criptográfica.