Com nova falha, hacker pode ler mensagens particulares do WhatsApp

Especialistas revelaram mais um problema grave no aplicativo WhatsApp, usado em celulares para o envio de mensagens instantâneas, parecidas com SMS, pela internet. O software já teve problemas com privacidade e recentemente aplicou melhorias na segurança, mas agora se sabe que a maneira que o WhatsApp autentica um celular pode ser facilmente duplicada, permitindo, em alguns casos, que qualquer pessoa em uma rede Wi-Fi, por exemplo, leia as mensagens WhatsApp do utilizador.

O WhatsApp não exige que o utilizador cadastre uma senha e um nome de usuário para entrar na rede, tornando o aplicativo bastante parecido com softwares de SMS. Nos bastidores, no entanto, o WhatsApp cadastra um nome de usuário e uma senha. O nome de usuário é apenas o número de telefone. A senha é baseada em números identificadores do celular: o IMEI, no caso de celulares com Android, e o endereço MAC (Media Access Control), no caso do iPhone.

Nenhum identificador aleatório é utilizado junto dessas informações – algo que seria fácil para o WhatsApp cadastrar. Ou seja, tendo o IMEI ou endereço MAC, junto com o número de telefone é possível entrar na conta WhatsApp da vítima, ler as mensagens que ela recebe e, inclusive, enviar mensagens em nome da vítima.

O número do IMEI (International Mobile Equipment Identity – Identidade Internacional de Equipamento Móvel) pode ser lido por qualquer aplicativo instalado pelo celular. Ele também normalmente está escrito em um adesivo localizado abaixo da bateria e pode ser obtido digitando-se *#06# no celular.

No caso do iPhone, a questão é ainda mais preocupante. O WhatsApp utiliza o endereço MAC – um número associado à placa de rede sem fio do celular. Esse número é publicado toda vez que o celular se conecta a uma rede sem fio: estando conectado, qualquer sistema na mesma rede sem fio pode obter o número MAC.

Não há nenhuma dificuldade para conseguir o número do telefone: o WhatsApp envia o número de telefone junto com cada mensagem, desprotegido.

Na prática, alguém que acessa a mesma rede Wi-Fi que você pode ler suas mensagens do WhatsApp e enviar mensagens como se fosse você – se você estiver usando um iPhone.

No caso do Android, será preciso acesso físico ao celular ou convencer você a instalar um app. Apesar de o Android isolar os aplicativos, não permitindo que um app interferia no funcionamento de outro, WhatsApp não está protegido, porque utiliza duas informações disponíveis para qualquer app – o número de telefone e o IMEI.

Os desenvolvedores do WhatsApp já fizeram ajustes no modo que o app autentica os celulares, mas o problema ainda existe.

Especialistas da publicação alemã “heise Security” conseguiram com sucesso utilizar a brecha para ler mensagens destinadas a celulares. Como o WhatsApp não fornece informações sobre o protocolo de comunicação, a publicação utilizou a WhatsAPI, um código não oficial, para acessar as contas.

Problema anterior
Em agosto, o WhatsApp realizou uma mudança para utilizar criptografia no envio e recebimento das mensagens. Antes, tudo era enviado em “texto plano”: em uma rede sem fio, o conteúdo das mensagens podia ser “visto” por outros usuários conectados à rede.

Com a mudança, as mensagens saem protegidas já do aparelho, impedindo que os dados interceptados sejam lidos.

Como a nova falha utiliza o endereço MAC da placa de rede do iPhone, utilizar o WhatsApp em Wi-Fi ainda é um risco de segurança.

A recomendação, por enquanto, é evitar usar o WhatsApp para mensagens com conteúdo sensível. Não adianta reservar o uso do WhatsApp para o 3G: ao conectar em uma rede Wi-Fi, no caso do iPhone, outras pessoas poderão acessar sua “conta” do WhatsApp, desde que seu número de telefone seja conhecido. Se você enviar uma mensagem pelo WhatsApp em uma rede Wi-Fi, ele também vai informar o número do telefone, dando a um possível invasor todas as informações necessárias.

Também vale ficar de olho para instalar qualquer atualização do WhatsApp, já que – espera-se – o problema seja corrigido em breve.

 

Por G1 – Publicado em 17/09/2012

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s