Vulnerabilidade no WhatsApp ao descoberto com a Check Point

FakesApp é o nome da aplicação que tem acesso de utilizar a vulnerabilidade do WhatsApp. Esta vulnerabilidade permite os agentes de ameaças divulguem fake news, burlas, e alterarem as mensagens que foram enviadas, manipulando assim os utilizadores.

Desde o início de 2018, a aplicação de mensagens pertencente ao Facebook tinha mais de mil milhões e meio de utilizadores, mais de mil milhões de grupos e 65 mil milhões de mensagens eram enviadas diariamente. O WhatsApp tem, também, planos de criar funcionalidades adicionais para ajudar as empresas a comercializar e gerir o apoio aos clientes através da aplicação. Vulnerabilidades como a que for encontrada aumenta a oportunidade de fazer burlas.

A equipa Check Point Research, da Check Point Software, encontrou uma vulnerabilidade na aplicação de mensagens, WhatsApp. Esta vulnerabilidade permite que sejam interceptadas e manipuladas as mensagens enviadas num grupo ou em conversas privadas. Ao fazê-lo, os atacantes podem colocar-se numa posição favorável onde podem não apenas criar evidências a seu favor, como também criar e espalhar informação errada.

Até agora a vulnerabilidade permite três ataques:

1. Mudar a resposta de alguém ao colocar palavras que não escreveram.
2. Citar uma mensagem numa resposta a uma conversa de grupo para fazer parecer como se viesse de uma pessoa que nem faz parte do grupo.
3. Enviar uma mensagem para um membro de um grupo que pretende parecer ser uma mensagem de grupo, mas que na realidade é enviada apenas para essa pessoa. No entanto, a resposta de quem recebe a mensagem será enviada para o grupo todo.

Veja no vídeo como são feitos é que estes ataques:

No primeiro caso, as palavras de um utilizador são manipuladas pelo atacante para este poder providenciar a si mesmo com uma resposta que lhe será de grande beneficio.

No segundo caso, vemos como um burlão pode espalhar informação incorreta sobre um certo produto e causar danos a uma empresa.

No último caso, vemos como as pessoas podem ser manipuladas para revelar os seus segredos.

WhatsApp e as fake news?

Devido ao facto de ser uma forma fácil e rápida de comunicar, o WhatsApp já esteve no centro de várias burlas. Desde falsas ofertas de supermercados e ofertas falsas de companhias aéreas até manipulações em eleições, os agentes de ameaças não se cansam de encontrar formas de manipular utilizadores menos suspeitos.

Já foram feitas manobras sociais a grande escala, ao ponto em que as vidas das pessoas estiveram em risco. No Brasil, foi espalhado um rumor no WhatsApp sobre os perigos de tomar a vacina da febre amarela – a mesma que podia ter evitado uma epidemia do vírus durante a sua propagação em 2016 que infetou 1 500 pessoas e matou quase 500.

Mais recentemente, um rumor, também divulgado via WhatsApp, levou a uma vaga de linchamentos que causou a morte de vítimas inocentes na India.

Por fim, as manobras sociais são feitas para enganar o utilizador e manipulá-lo a realizar ações que mais tarde irão arrepender-se. Com a possibilidade de manipular as respostas, inventar citações ou enviar mensagens privadas a fazer parecer que são de grupo, os burlões têm mais oportunidades de ter êxito e ter mais uma arma disponível para usar.

Quanto maior for o grupo no WhatsApp, onde muitas mensagens são enviadas, a probabilidade de um membro ir confirmar a autenticidade de todas as mensagens é menor e facilmente são levados a acreditar na informação que leem. Como já é conhecido nos emails que são spam, onde o nome do remetente falso parece ser de uma fonte de confiança, esta recente vulnerabilidade permite a utilização de métodos similares, mas com um vetor de ataque diferente.

Como se proteger de informação errada

Enquanto não existem produtos de segurança que consigam proteger os utilizadores deste tipo de tentativas de engano, a Check Point Software Technology sugere algumas formas de evitar ser vítima das fake news, teorias da conspiração e burlas online.

Se algo parece ser bom demais para ser verdade, normalmente é. E da mesma forma, se algo parece ser muito ridículo para ser verdade, provavelmente é.

A informação errada espalha-se mais rápido do que a verdade. Por mais que possa estar a ver a mesma notícia em múltiplas fontes, não o torna mais verídico do que se estivesse a ver em apenas uma fonte.

Confirme os ‘factos’. É recomendado que confirme o que vê nas redes sociais com uma pesquisa rápida para ver o que outros possam estar a dizer sobre o mesmo assunto. Ou melhor ainda, não se informe de informação noticiosa através das redes sociais.