Falha no WhatsApp permite adicionar pessoas a grupos sem permissão de administrador

Falha no WhatsApp permite adicionar pessoas a grupos sem permissão de administrador

12 jan 2018

Uma equipe de especialistas em criptografia da Ruhr University Bochum, na Alemanha, disse ter descoberto falhas na segurança do WhatsApp que comprometem a criptografia de ponta-a-ponta do serviço.

Eles descreveram a descoberta em um artigo científico, “Mais é Menos: Sobre a segurança de ponta-a-ponta em grupos do Signal, WhatsApp e Threema”. De acordo com a publicação, qualquer pessoa que controle os servidores do WhatsApp, incluindo funcionários da empresa, podem adicionar secretamente pessoas em qualquer grupo.

Do artigo:
5.4 Impacto da combinação de fraquezas

A falha descrita permite que um atacante A, que controle o servidor WhatsApp ou que consiga quebrar a camada de segurança de transporte, tome posse total do controle de um grupo. Entrar no grupo, no entanto, deixa rastros uma vez que a operação é listada na interface gráfica dos usuários.

O servidor do WhatsApp pode, portanto, utilizar o fato de que é capaz de reorganizar e enviar mensagens no grupo. Assim, pode armazenar em cache mensagens enviadas para o grupo, ler seu conteúdo primeiro e decidir em qual ordem elas serão entregues aos membros. Além disso, o servidor do WhatsApp pode encaminhar essas mensagens para os membros individualmente, de modo que uma combinação de mensagens sutilmente escolhidas possam ajudá-lo a cobrir os traços.

Apenas administradores podem adicionar novos membros a grupos privados. Porém, como os pesquisadores descobriram, qualquer pessoa em controle de um servidor pode forjar o processo de autenticação, basicamente garantido a si mesmos os privilégios necessários para a adição de novos membros que serão capazes de ler conversas privadas.

O exemplo óbvio que vem à mente são hackers que podem tentar ganhar o acesso aos servidores do WhatsApp ou um governo que capaz de pressionar o WhatsApp a garantir acesso a chats em grupos de indivíduos específicos.

Um dos aspectos mais problemáticos é o fato de que um administrador com controle dos servidores poderiam manipular as mensagens de alerta que avisam ao grupo que uma pessoa foi adicionada, de acordo com os pesquisadores.

A Wired confirmou as descobertas dos pesquisadores diretamente com um porta-voz do WhatsApp. Apesar da companhia reconhecer o problema com a segurança nos servidores, foi dito que atacantes não seriam capazes de bloquear, armazenar ou prevenir que o alerta de novos membros adicionados fosse mostrado.

“Analisamos esse problema com cuidado”, escreveu o porta-voz à Wired. “Membros existentes são notificados quando novas pessoas são adicionadas ao grupo do WhatsApp. Nós desenvolvemos o WhatsApp de maneira que mensagens para grupos não possam ser enviadas para um usuário escondido. A privacidade e segurança dos nossos usuários é incrivelmente importante no WhatsApp. É por isso que coletamos pouquíssima informação e todas as mensagens são criptografadas de ponta-a-ponta”.

Os pesquisadores concordam que o nível de sofisticação necessário para comprometer os servidores do WhatsApp tornam esse cenário de ataque bem improvável, mas não há desculpas para brechas de segurança em um sistema que se vende como extremamente seguro.

“Se eu sei que existe criptografia de ponta-a-ponta tanto para os grupos quanto para mensagens entre duas pessoas, significa que a adição de novos membros deve ser protegida”, disse o pesquisador Paul Rösler à Wired.

Do Gizmodo
Comentários
PUBLICIDADE