Qualquer pessoa pode perder sua conta no whatsapp de forma definitiva graças a uma falha no aplicativo. Isso acontece mesmo que a pessoa tenha ativado a verificação em duas etapas.
Para que isso se concretize, basta que o invasor tenha o número do celular do usuário e envie e-mails falsos comunicando a empresa que aquela conta foi roubada. Feito isso, após a realização de alguns processos pelo criminoso, a conta será deletada.
A vulnerabilidade foi descoberta pelos pesquisadores de cibersegurança Luis Márquez Carpintero e Ernesto Canales Pereña, e relatada pela Forbes neste sábado (10).
Procurado pelo TechTudo, o WhatsApp diz que a prática fere os termos de uso do aplicativo e que o cadastro do e-mail solicitado durante a ativação da verificação de duas etapas é fundamental para que o verdadeiro proprietário da conta seja identificado pela companhia antes do bloqueio. Confira a íntegra da nota ao final desta matéria.
Como funciona o golpe?
O processo tem início no cadastro do número do celular no aplicativo, momento em que um código de seis dígitos é enviado via SMS para o proprietário do número.
Um invasor pode inserir o seu número deliberadamente no mensageiro, fazendo com que você, mesmo longe, receba o código numérico por mensagem. Ele não terá acesso a esse código nem conseguirá cadastrar o seu número no celular dele, mas isso desencadeará o início do problema.
Após receber várias tentativas de acesso com o seu número, o WhatsApp bloqueará novas solicitações de login dentro do período de 12 horas, pois existe um limite na quantidade de envio de códigos de seis dígitos.
Você continuará tendo acesso à sua conta e às suas conversas normalmente, mas caso queira cadastrar seu número em outro celular dentro desse período, será impedido e não receberá o código secreto, mesmo que as solicitações anteriores tenham partido de outra pessoa.
Neste momento, o invasor enviará um e-mail falso para o WhatsApp alegando que o seu número de telefone foi roubado, solicitando o bloqueio da conta.
A empresa poderá enviar uma resposta automática solicitando a confirmação do número e, após a ratificação do criminoso, o WhatsApp suspenderá a sua conta, sem confirmar que o e-mail partiu realmente de você. Aproximadamente uma hora depois, o WhatsApp deixa de funcionar no seu celular e exibirá a seguinte mensagem:
“Seu número de telefone não está mais registrado no WhatsApp neste telefone. Isso pode ter acontecido porque você registrou em outro telefone. Se você não fez isso, verifique seu número de telefone para fazer login novamente em sua conta”.
Ao se deparar com o WhatsApp sem funcionar, você deverá tentar fazer o cadastro do telefone novamente.
No entanto, se você ainda estiver dentro do período de 12 horas de bloqueio, não receberá o código de seis dígitos e visualizará na tela um cronômetro com o tempo restante para a liberação — os códigos que você recebeu por SMS a partir das solicitações do criminoso também não funcionarão.
Ou seja, seu WhatsApp estará bloqueado obrigatoriamente pelas próximas horas. Mas a situação ainda pode piorar.
Caso o criminoso seja mais rápido que você após o fim das 12 horas e venha a repetir o processo antes que você ative a conta novamente, o WhatsApp pode “quebrar”.
Após o terceiro ciclo de 12 horas, o aplicativo apresentará um bug e, em vez de mostrar o cronômetro com as horas restantes, ele informará que você poderá solicitar o login novamente após “-1 segundo”.
Neste momento, sua conta terá sido excluída do aplicativo e você só conseguirá reativar seu WhatsApp entrando em contato com o suporte do mensageiro por e-mail.
Caso o criminoso tenha estabelecido contato anteriormente e solicitado a remoção da conta, esse procedimento será ainda mais difícil.
Problemas básicos de segurança
Segundo os pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña, responsáveis pela descoberta, dois importantes passos do procedimento só são possíveis por falhas no processo de segurança do WhatsApp.
Eles afirmam que a primeira vulnerabilidade é a possibilidade de tentar fazer login com qualquer número de telefone do mundo, mesmo que o usuário não seja o proprietário da linha ou que, sequer, esteja próximo do telefone citado.
Mesmo que os bandidos não tenham acesso ao código de segurança de seis dígitos, os pesquisadores consideraram problemática essa possibilidade.
Além disso, outra fraqueza do app seria a efetivação do bloqueio da conta a partir de uma solicitação feita por um e-mail aleatório, sem a confirmação de propriedade do número.
O que diz o WhatsApp
Confira a íntegra da nota de esclarecimento sobre o caso, enviada pelo WhatsApp ao TechTudo:
“Fornecer um endereço de e-mail ao ativar a confirmação em duas etapas ajuda a equipe de suporte do WhatsApp no atendimento aos usuários que se encontrem em uma situação como esta, por mais improvável que seja.
As circunstâncias identificadas pelo pesquisador violariam os Termos de Serviço do aplicativo e o WhatsApp encoraja a todos os seus usuários a entrarem em contato com a equipe de assistência sempre que precisarem de ajuda para que o problema seja investigado”.
O WhatsApp não informou se planeja consertar a vulnerabilidade, apesar de ela poder ser explorada por qualquer pessoa de forma anônima.
Participe de nossa comunidade no WhatsApp, clicando nesse link
Entre em nosso canal do Telegram, clique neste link
Baixe nosso app no Android, clique neste link
Baixe nosso app no Iphone, clique neste link