O WhatsApp é uma das soluções de mensagens mais usadas no mundo, em parte devido à sua encriptação ponta a ponta (E2EE). No entanto, a E2EE por si só não serve de muito se não for acompanhada de medidas robustas que previnam o acesso não autorizado às contas dos utilizadores. À medida que os serviços evoluem, vemos cada vez menos destas vulnerabilidades, mas um problema recente no WhatsApp é particularmente preocupante: qualquer pessoa poderia desativar remotamente a tua conta sem o teu consentimento.
Segurança comprometida
Numa situação rara em que o teu telemóvel principal seja roubado e não consigas aceder ao WhatsApp, a empresa Meta, proprietária do serviço de mensagens, facilita o pedido de desativação remota da tua conta do WhatsApp para evitar o seu uso indevido. Basta enviar um e-mail com a frase “Lost/Stolen: Please deactivate my account” e o teu número de telefone em formato internacional. Este sistema poderia funcionar bem numa empresa com poucas contas de utilizador, mas não para o WhatsApp e os seus mil milhões de utilizadores.
Abuso da vulnerabilidade
Como Jake Moore, consultor global de cibersegurança da ESET, indica, não vivemos num mundo ideal. Além disso, o processo do WhatsApp é completamente automatizado e não verifica se o remetente do e-mail é o verdadeiro proprietário da conta do WhatsApp a ser desativada. Neste cenário, é fácil imaginar como qualquer pessoa que conheça o teu número de telefone pode criar um endereço de e-mail temporário e solicitar a desativação da tua conta, tudo sem o teu conhecimento.
Cibercriminosos profissionais poderiam ir mais longe e explorar este sistema em grande escala, usando scripts automatizados para desativar aleatoriamente contas do WhatsApp, realizando ataques de negação de serviço (DOS) repetidos até que as vítimas inocentes paguem para ter acesso à sua conta do WhatsApp. Eles também poderiam roubar informações de contacto para atingir mais pessoas, ou simplesmente apagar conversas que tu não poderias recuperar, a menos que tivesses uma cópia de segurança recente do WhatsApp.
Ação rápida da Meta
Felizmente, a Meta parece ter tomado consciência desta falha – ou talvez tenha recebido uma quantidade obscena de pedidos de desativação. Por agora, a desativação imediata da conta foi desativada. Se foste vítima de um ataque deste tipo, a documentação de apoio indica claramente que podes recuperar contas desativadas e todas as mensagens não lidas num prazo de 30 dias.
Elogiamos o WhatsApp pela sua rápida intervenção, mas a funcionalidade agora descontinuada parece ser uma implementação padronizada remanescente dos dias em que o WhatsApp era uma nova aplicação. Num tweet separado, o consultor de cibersegurança sugeriu que o WhatsApp reative o sistema e apenas aceite pedidos de desativação de e-mails ligados aos proprietários das contas do WhatsApp. Acrescentou que a verificação de dois passos deveria ser obrigatória para todas as contas do WhatsApp, em vez de ser uma opção como é atualmente.
Outros artigos interessantes: