MADRI 19 nov. (Portaltic/EP) -
Uma vulnerabilidade no WhatsApp possibilitou a identificação de 3,5 bilhões de contas ativas globalmente no serviço de mensagens como parte de uma investigação que utilizou um gerador de números e que ajudou a corrigir a falha para evitar a exposição desses dados.
Os novos usuários do WhatsApp podem descobrir se os contatos que salvaram no catálogo de endereços de seus telefones têm uma conta no serviço de mensagens simplesmente permitindo que o aplicativo acesse esse elemento. Isso é possível porque o WhatsApp mantém um registro de seus usuários vinculado a seus números de telefone para facilitar essa descoberta.
No entanto, esse mecanismo "pode ser usado indevidamente para verificar se um indivíduo específico (como um funcionário do governo, ex-parceiro ou empregador) está registrado no WhatsApp" apenas conhecendo o número de telefone, conforme alertou um grupo de pesquisadores da Universidade de Viena e da Universidade Técnica de Viena (Áustria).
Embora o WhatsApp tenha melhorado a privacidade, esse mecanismo pode ser explorado para criar bancos de dados em grande escala de registros de números de telefone, que os agentes mal-intencionados podem usar em campanhas de spam, phishing ou chamadas automatizadas.
Para testar essa vulnerabilidade no sistema de mensagens, os pesquisadores desenvolveram um método para "gerar rapidamente conjuntos de dados candidatos de números de telefone potencialmente ativos para 245 países", conforme relatam no texto de seu artigo, compartilhado no GitHub.
Especificamente, o que eles fizeram foi introduzir em uma API do WhatsApp todos os números de telefone que eles conseguiram gerar automaticamente para verificar se estavam ativos no serviço, a uma taxa de 7.000 números por segundo e sessão.
Eles fizeram isso a partir do mesmo endereço IP e de cinco contas de usuários, sem que o WhatsApp os bloqueasse, o que, no final, lhes permitiu confirmar 3,5 bilhões de números registrados (contas ativas). Esse número, segundo eles, "excede os 'mais de 2 bilhões de pessoas' declarados oficialmente pelo WhatsApp".
Além disso, eles usaram a API XMPP do WhatsApp para extrair mais dados sobre cada uma das contas: chaves de criptografia pública, registros de data e hora, foto do perfil e informações da empresa.
"O grande número de pontos de dados nos permite não apenas fazer um censo detalhado da população de usuários do WhatsApp, mas também dar uma ideia das interessantes observações macroscópicas em grande escala que o serviço de mensagens instantâneas é capaz de obter, mesmo sem ter acesso ao conteúdo da mensagem", observam os pesquisadores.
Com essa abordagem, eles conseguiram descobrir, por exemplo, que a Europa é responsável por 18% da base de usuários do WhatsApp e que 64% deles usam Android, em comparação com 36% que têm um telefone iOS. A Ásia é o maior mercado, respondendo por 47% dos usuários. Desses, 88% usam Android e 12% usam iOS.
Os pesquisadores relataram sua descoberta ao WhatsApp e trabalharam com a empresa para implementar contramedidas, que entraram em vigor no início de outubro. O WhatsApp também acelerou algumas das medidas que estava desenvolvendo para implementá-las o mais rápido possível.
Esta notícia foi traduzida por um tradutor automático