Nova vulnerabilidade do WhatsApp: seu número de telefone pode atingir os resultados de pesquisa do Google

O principal motivo da popularidade do messenger WhatsApp é o aumento do nível de confidencialidade – através do uso da tecnologia de criptografia de mensagens de ponta a ponta. E considerando quantas pessoas usam esse serviço de mensagens instantâneas (mais de 2 bilhões de pessoas em mais de 180 países), a publicação de novas falhas de segurança no aplicativo popular parece bastante flagrante. No outro dia, especialistas em segurança da informação encontraram uma vulnerabilidade no WhatsApp relacionada à função do aplicativo “clique para conversar”.

«O recurso “clique para conversar” no WhatsApp permite que você comece a conversar com alguém, mesmo que o número de telefone não esteja no catálogo de endereços do seu telefone. Se você descobrir o número de telefone dessa pessoa e ele tiver uma conta ativa do WhatsApp, poderá criar um link que permitirá que você comece a se comunicar com ela. Quando você clica em um link, um bate-papo com essa pessoa é aberto automaticamente. O bate-papo é aberto no aplicativo WhatsApp do telefone e na versão da Internet ”, explica o WhatsApp.

Os proprietários de sites podem usar esse recurso criando um código QR associado ao número de telefone e colocando um código no site para visitantes (para começar a se comunicar com eles). Um visitante, mesmo sem inserir um número de telefone, pode digitalizar um código QR ou clicar em um link de URL para iniciar um bate-papo no WhatsApp.

O pesquisador de segurança Athul Jayaram alerta que há um problema com o WhatsApp: dessa maneira, os números de telefone “vazam” através da indexação de sites do Google. A essência do problema, segundo Jayaram, é que os mecanismos de pesquisa indexam metadados nos links do wa.me, que contêm os números de celular do usuário. “O número do seu celular está visível em texto simples neste URL e, portanto, qualquer pessoa que obtém acesso ao link pode reconhecê-lo. E você não pode fazer nada sobre isso “, relata o especialista em segurança.

Jayaran diz que dessa maneira ele conseguiu encontrar cerca de 300.000 números de telefone do WhatsApp. Ele também alerta que essa oportunidade permite que os atacantes enviem mensagens falsas ou vendam números de telefone para spammers e golpistas. Pior ainda, depois de um pouco de pesquisa, você pode revelar a identidade da pessoa olhando uma foto do perfil dele no WhatsApp. “Ao abrir o perfil do WhatsApp, eles podem salvar a foto do usuário e, através da pesquisa de imagens, encontrar suas contas nas redes sociais e aprender muito mais sobre [a pessoa alvo]”, acrescentou Jayaram.

O especialista tentou obter uma recompensa pela vulnerabilidade encontrada no Facebook, que possui o WhatsApp, mas foi recusada porque o mensageiro instantâneo tem seu próprio programa de recompensas. No entanto, o WhatsApp também negou Jayarama, dizendo que não era um bug. “Embora valorizemos o relatório deste pesquisador e o tempo que ele gastou para compartilhá-lo conosco, ele não pode reivindicar uma recompensa: porque seu relatório simplesmente continha resultados de pesquisa com URLs que os próprios usuários do WhatsApp decidiram publicar. Todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o clique de um botão ”, dizia a mensagem do WhatsApp.

Apesar de Jayaram não ter recebido sua recompensa, ele está firmemente convencido de que essa é uma vulnerabilidade de segurança, e o WhatsApp deve tomar medidas para eliminá-la.