WhatsApp tinha falha que revelava celular de vítimas

A Meta está corrigindo de forma silenciosa uma vulnerabilidade que permitia identificar o sistema operacional usado no dispositivo de um destinatário. A brecha abria espaço para uma técnica conhecida como device fingerprinting, capaz de revelar se a vítima utilizava Android ou iOS, além de informações sobre a hierarquia do dispositivo — como se ele era o principal ou secundário — e o tempo de uso.

A correção vem sendo implementada sem divulgação formal. A empresa não registrou o problema na base de dados da Common Vulnerability Enumeration (CVE) e tampouco recompensou os pesquisadores responsáveis pela descoberta da falha.

• Leia mais: Venezuelanos baixam apps de VPN, Proxy e Wallets após ataque dos EUA

O problema existia devido a valores previsíveis nos identificadores de chaves de criptografia pré-determinados para cada tipo de dispositivo. Esses padrões permitiam que terceiros reconhecessem o sistema operacional com relativa precisão, mesmo sem acesso direto ao aparelho.

Embora a falha não caracterize um ataque direto, ela é considerada sensível por facilitar a identificação da plataforma alvo. Com essa informação em mãos, um atacante pode direcionar golpes ou explorações específicas para aquele sistema operacional, aumentando as chances de sucesso.

WhatsApp corrigiu parcialmente a vulnerabilidade

Em uma publicação recente no Medium, o pesquisador Tal Be’ery afirmou que a Meta já trabalha em medidas de mitigação e conseguiu corrigir parte do problema. Ainda assim, segundo ele, a vulnerabilidade não foi eliminada por completo.

“Os atacantes ainda conseguem distinguir com alta precisão entre celulares Android e iPhone com base no ID PK de uso único”, explicou Be’ery. De acordo com o pesquisador, o iPhone inicializa esse parâmetro com valores baixos e os incrementa lentamente ao longo de alguns dias, enquanto o Android utiliza valores aleatórios em todo o espaço de 24 bits, tornando os dispositivos facilmente distinguíveis.

Apesar disso, Be’ery avalia que a correção parcial pode ser apenas o primeiro passo rumo a uma solução mais abrangente. Se implementadas corretamente, as mudanças devem inviabilizar o uso desse tipo de fingerprinting no futuro.

Correção foi feita sem reconhecimento aos pesquisadores

Um dos pontos criticados por Be'ery do caso é a postura adotada pelo WhatsApp. Mesmo atuando para mitigar o problema, a empresa não registrou oficialmente a vulnerabilidade nem ofereceu recompensas formais por meio de seu programa de bug bounty.

Em declaração ao site Security Week, a Meta afirmou considerar o problema de “baixa gravidade”. Entre as justificativas, a empresa destaca que o device fingerprinting pode estar ligado ao próprio sistema operacional, não é uma prática exclusiva do WhatsApp e, em geral, é classificado pela indústria de cibersegurança como uma vulnerabilidade de impacto reduzido.

Segundo o próprio Be’ery, no entanto, a Meta acabou enviando uma recompensa indireta. A denúncia do pesquisador ajudou a identificar problemas adicionais relacionados a mensagens inválidas e contribuiu para aprimorar o processo de triagem do programa de recompensas da empresa.

Não é necessário alarde, mas é bom ficar atento

O device fingerprinting é apenas uma das etapas de um ataque cibernético, e o caso do WhatsApp não é exclusivo. A estratégia é bem comum em navegadores, uma vez que saber qual é o sistema utilizado possibilita um ataque mais eficiente.

No caso do WhatsApp, as dicas de proteção pessoal são comuns:

• Desconfie de arquivos enviados por números desconhecidos;
• Evite clicar em links recebidos em grupos ou por contatos desconhecidos;
• Não forneça o código de verificação do mensageiro para outra pessoa em hipótese alguma.

• Confira: Venezuela sofreu corte de internet e blecaute antes de ataque dos EUA

Para ficar por dentro de falhas de segurança, atualizações de grandes plataformas e os bastidores do mundo da tecnologia, acompanhe o TecMundo nas redes sociais e siga acessando o site diariamente.