O WhatsApp é um dos aplicativos de mensagens mais populares do mundo, mas sua vasta base de usuários também o torna um alvo frequente para ataques cibernéticos. Embora o aplicativo utilize criptografia de ponta-a-ponta (E2EE) para proteger a privacidade dos usuários, falhas em sua implementação podem expor dados sensíveis, como o dispositivo utilizado. Recentemente, a plataforma realizou correções silenciosas em uma vulnerabilidade antiga, mas ainda há muito a ser feito.
O problema do fingerprinting no WhatsApp
Uma das principais preocupações em relação à privacidade no WhatsApp é o fingerprinting, um método que permite identificar o dispositivo de um usuário. Cibercriminosos exploram essa técnica para determinar o sistema operacional da vítima, pois um malware projetado para Android não funcionará em um iPhone, e vice-versa. Além disso, essa identificação pode expor o ataque, permitindo que pesquisadores de segurança corrijam a brecha rapidamente.
Correções parciais e falta de transparência
Pesquisadores de segurança, como Tal Be’ery, alertaram o WhatsApp sobre o problema do fingerprinting há anos, mas a plataforma demorou a agir. A questão central está na chave de criptografia de cada sessão, que varia conforme a plataforma, revelando aos atacantes qual brecha explorar. Recentemente, o WhatsApp implementou correções, mas de maneira parcial e silenciosa, sem reconhecer os pesquisadores que identificaram a falha.
Há poucos dias, a lógica de criptografia no Android foi alterada, tornando-a mais randômica. Essa mudança esconde parcialmente o dispositivo utilizado, mas outras plataformas ainda não receberam o mesmo tratamento. Além disso, a Meta, responsável pelo aplicativo, não reconheceu o problema como uma ameaça significativa à privacidade dos usuários. Os pesquisadores que reportaram a falha não foram notificados sobre a correção e não receberam recompensa, como é comum em programas de bug bounty.
Falta de reconhecimento e transparência
Outra correção semelhante, implementada recentemente, recebeu o devido reconhecimento dos pesquisadores responsáveis, mas ainda não foi atribuído um número CVE (Common Vulnerabilities and Exposures) para identificação oficial. Enquanto especialistas em segurança consideram que o WhatsApp poderia ser mais transparente e colaborativo, é positivo que as vulnerabilidades estejam sendo corrigidas, mesmo que aos poucos.
Conclusão
Embora o WhatsApp tenha dado passos importantes para corrigir falhas de privacidade, ainda há muito a ser feito. A falta de transparência e o reconhecimento inadequado dos pesquisadores que identificam essas vulnerabilidades são pontos que precisam ser melhorados. Os usuários devem ficar atentos às atualizações do aplicativo e adotar medidas adicionais de segurança para proteger suas informações.
- Mantenha o aplicativo sempre atualizado.
- Evite clicar em links suspeitos.
- Utilize autenticação em duas etapas.