Pável Dúrov, um dos criadores do Telegram, não perde a oportunidade de o dizer sempre que pode: WhatsApp está crivado de brechas de segurança (Você pode ler seu manifesto AQUI). Sem ir ao extremo de Pável, que considera o app de mensagens do Facebook um Trojan completo, a verdade é que o WhatsApp é um verdadeiro doce para hackers: é usado por bilhões de pessoas e, portanto, o impacto de suas ações que costumam ter um alcance global.
5 técnicas com as quais um cibercriminoso pode invadir uma conta do WhatsApp
Deixando de lado todos os problemas de segurança que o WhatsApp possa ter (e entendendo que esses problemas são resolvidos por meio de atualizações de apps), a verdade é que existem várias maneiras de comprometer a integridade e a privacidade de nossas conversas. Estes são alguns dos mais proeminentes.
1- Execução remota de código através de um GIF
Há apenas um mês, em outubro de 2019, o pesquisador de segurança "Awakened" explicou em uma postagem no Github como ele detectou uma falha de segurança no WhatsApp para Android que permitia que hackers o controlassem enviando um simples GIF.
O hack aproveita a maneira como o WhatsApp processa as imagens: quando o sistema tenta mostrar uma prévia do GIF, ele analisa todo o GIF em vez de apenas escolher a primeira imagem. Uma vez que os arquivos GIF são uma sequência de imagens uma após a outra, isso permite que o hacker insira o código entre uma imagem e outra. O que acontece depois? Que quando o WhatsApp tenta visualizar o GIF que o hacker enviou, analisando o “pacote completo” do GIF (imagens + código intermediário), o usuário é infectado sem nem mesmo abrir o GIF em questão.
Felizmente, segundo o próprio Awakened, após comunicar o problema ao Facebook, ele foi corrigido por meio de um patch em uma atualização recente (mais especificamente, na versão 2.19.244 do WhatsApp para Android).
2- Ataques de engenharia social
Ataques de engenharia social tiram proveito da psicologia humana para roubar informações ou espalhar boatos e notícias falsas. Esta falha de segurança que comentamos a seguir foi descoberta pela Check Point Research, e ela aproveita a função "citar" usada no WhatsApp para responder ou enviar uma resposta a uma mensagem específica em um chat.
O truque é basicamente responder a uma mensagem, mas modificando o texto do remetente. Para isso, a versão web do WhatsApp é usada para descriptografar as mensagens usando o decodificador Burp como intermediário. Neste pequeno vídeo explicativo podemos ver seu funcionamento com mais clareza.
Embora essa vulnerabilidade tenha sido descoberta em 2018, nenhum patch foi implementado para corrigir o problema, de acordo com a ZDNet neste POST de agosto de 2019.
3- A chamada de voz Pegasus
Este é um ataque realizado através de uma chamada de voz através do WhatsApp. A coisa mais assustadora de tudo é que nem precisamos atender a ligação, ele pode infectar o usuário mesmo sem saber.
O método utilizado para este ataque é o que é conhecido como "stack overflow", e consiste em introduzir uma grande quantidade de código em um pequeno buffer, de forma que transborde e acabe escrevendo aquele código em lugares que ele não deveria. capaz de acessar.
Neste caso, o hacker introduz um malware denominado “Pegasus” que é capaz de acessar as mensagens, ligações, fotos e vídeos da vítima.
O ataque foi utilizado por uma empresa israelense, acusada de espionar organizações como a Anistia Internacional e outros grupos de ativistas a favor dos direitos humanos. O WhatsApp já corrigiu o aplicativo para evitar esse tipo de ataque, mas se você tiver uma versão do WhatsApp para Android anterior a 2.19.134 ou uma versão anterior a 2.19.51 no iOS, é melhor atualizar o mais rápido possível.
4- O truque da mudança
Esse outro tipo de ataque é conhecido como “sequestro de arquivo multimídia”, que se aproveita de uma vulnerabilidade presente na maioria dos aplicativos de mensagens, como WhatsApp e Telegram.
Aqui, o hacker inserirá o código malicioso em um aplicativo que, em princípio, é inofensivo e, depois que a vítima o instalar, ela ouvirá. Assim, quando o usuário recebe uma foto ou vídeo do WhatsApp e vai para sua Galeria, o aplicativo poderia pegue o arquivo de entrada e substitua-o para outro arquivo completamente diferente.
De acordo com a Symantec, este é um hoax que pode ser usado para espalhar notícias falsas e encorajar a desinformação. Em qualquer caso, é um "hack" que podemos facilmente prevenir entrando nas configurações do WhatsApp, em "Configurações -> Bate-papos”E desativando a aba“Visibilidade do arquivo de mídia”.
5- Olá, Facebook… você está aí?
Por fim, não podemos fechar este post sem mencionar o próprio Facebook. Embora o WhatsApp use criptografia ponta a ponta para proteger o conteúdo de tudo o que enviamos pelo WhatsApp, muitas vozes acreditam que a empresa do grande F pode estar espionando parte das conversas.
Isso porque, conforme indica o desenvolvedor Gregorio Zanon, embora o WhatsApp use criptografia ponta a ponta, nas versões do iOS 8 e superiores, os aplicativos utilizam o que se conhece como “containers compartilhados” onde podem acessar determinados arquivos.
Tanto o Facebook quanto o WhatsApp usam o mesmo contêiner compartilhado nos dispositivos. E embora no momento da verdade os chats sejam enviados perfeitamente criptografados através do aplicativo, isso não significa que sejam criptografados no dispositivo de origem.
Deve ficar claro, no entanto, que não há evidências de que o Facebook esteja lendo mensagens privadas do WhatsApp (embora potencialmente tenha a possibilidade de fazê-lo). Além disso, a empresa sempre deu ênfase especial à proteção da privacidade do usuário, por meio de sua política de privacidade e de postagens como ESTA no blog oficial do aplicativo.
Você tem Telegrama instalado? Receba a melhor postagem de cada dia no nosso canal. Ou se preferir, descubra tudo no nosso página do Facebook.