Publicado em: quinta-feira, 13/03/2014

Consultor de segurança identifica falha de segurança no WhatsApp

Consultor de segurança identifica falha de segurança no WhatsAppUma postagem em um fórum holandês de segurança digital deixou os usuários do WhatsApp para Android em alerta. De acordo com a postagem, feita por um consultor de segurança, o aplicativo tem uma falha que permite que qualquer usuário do aplicativo tenha toda a sua base de dados roubada. Após detalhar a falha, o consultor Bas Bosschert (que também atua como diretor técnico da Double Think) publicou um tutorial detalhado sobre como acessar as conversas de qualquer usuário no aplicativo.

Acesso completo

Segundo Bas Bosschert, a falha no aplicativo para Android é extremamente grave, por permitir o acesso irrestrito a todo o histórico de conversas. O problema deriva da própria arquitetura do aplicativo: a base de dados do WhatsApp, incluindo conversas, vídeos, fotos e qualquer outro conteúdo, é salva em cartões SD, que podem ser lidos por qualquer aplicativo do Android, caso o usuário autorize o acesso.

Acontece que, na maioria dos casos, os usuários têm o costume de fornecer todas as permissões para aplicativos, quando solicitados. Isso seria o suficiente para deixar o WhatsApp vulnerável no Android.

De acordo com outros especialistas em segurança, o WhatsApp só ficaria realmente vulnerável, nestas circunstâncias, se o usuário habilitasse a função de backup do aplicativo. Nas versões mais antigas, esta função vinha habilitada automaticamente, mas, na última versão lançada pela empresa, o backup vem desabilitado como padrão.

Encriptação

Para aumentar a segurança de seus usuários, o WhatsApp possui um sistema de encriptação das conversas. Entretanto, segundo Bas Bosschert, há aplicativos simples que podem decodificar as mensagens, pois o WhatsApp se utiliza do mesmo tipo de criptografia para qualquer usuário.

O ideal, de acordo com o consultor, seria que o aplicativo criasse diferentes chaves de encriptação para os usuários, o que pelo menos dificultaria a ação de hackers.

Resposta

Após a divulgação da falha de segurança no aplicativo, a assessoria do WhatsApp publicou uma resposta, afirmando estar ciente do problema. Contudo, segundo os responsáveis pelo aplicativo, a publicação do consultor de segurança, que acusou a falha, é imprecisa e exagerada.

O WhatsApp afirmou que, mesmo que os usuários deem permissão ao aplicativo para a utilização do cartão SD, os dados só ficariam vulneráveis caso o dispositivo tenha sido infectado por um vírus ou malware. Em resposta à postagem feita pelo consultor de segurança, alguns usuários confirmaram a necessidade de que o dispositivo esteja infectado com algum programa malicioso para que o roubo de dados seja possível.

Vulnerável ou não, os desenvolvedores do WhatsApp recomendam que seus usuários mantenham sempre o aplicativo atualizado, bem como o sistema operacional Android. No relatório publicado por Bas Bosschert, não há qualquer menção ao mesmo problema para usuários do sistema operacional Apple iOS.

Por fim, o comunicado publicado pelo WhatsApp pede para que os usuários baixem o aplicativo apenas em sites confiáveis. De acordo com a empresa, a versão mais recente do aplicativo, disponível na Google Play, já possui dispositivos para proteger seus usuários contra vírus e outros programas maliciosos.