Os usuários do WhatsApp estão sendo alertados sobre um problema de segurança gritante com o aplicativo de mensagens mais popular do mundo. A ameaça permite que invasores bloqueiem sua conta desativando o WhatsApp. E o que os maus atores precisam para causar toda essa confusão? Nada mais do que seu número de telefone.
O novo golpe aterrorizante foi destacado pela primeira vez por um especialista em segurança que escreveu na Forbes. Qualquer pessoa pode ter sua conta bloqueada em 36 horas, alertaram os pesquisadores de segurança Luis Márquez Carpintero e Ernesto Canales Pereña.
O ataque pode ser realizado porque, literalmente, qualquer pessoa pode instalar o WhatsApp em seu dispositivo e inserir um número de celular pertencente a outra pessoa durante o processo inicial de configuração da conta. Se alguém fizer isso, você receberá mensagens de texto e ligações do WhatsApp com um código crucial de seis dígitos necessário para concluir o processo de configuração.
LEIA MAIS: WhatsApp quer acabar com o pesadelo de mudar do iPhone para o Android
A menos que um hacker consiga fazer você enviar este código, a probabilidade de eles conseguirem adivinhar é quase impossível. Portanto, o que aconteceria é que um invasor tentaria inserir esse código crucial e continuaria falhando.
Até agora, não é um problema. O problema é que, depois de uma série de tentativas malsucedidas, o WhatsApp fará uma pausa na criação desses códigos.
O aplicativo de bate-papo notificará alguém que tenta – e não consegue – configurar o WhatsApp de que precisa “Reenviar SMS / Ligue para mim em 12 horas”.
Após o término desse período de 12 horas, o invasor precisa seguir o mesmo método de antes duas vezes para garantir que o WhatsApp bloqueie a criação de novos códigos de configuração. Durante o segundo período de 12 horas, enquanto novos códigos de configuração não estão sendo gerados, um invasor pode criar um endereço de e-mail falso e entrar em contato com o suporte do WhatsApp.
O malfeitor pode fornecer o número de telefone de um alvo e dizer que sua conta foi perdida ou roubada e pedir que seja desativada.
O WhatsApp pode, então, bloquear o acesso do usuário à sua conta, sem verificar se a pessoa que entrou em contato por e-mail é a mesma pessoa que tem o número de telefone fornecido. Se o invasor esperar até o segundo ciclo de 12 horas começar, então, no momento em que o terceiro entrar no WhatsApp, parece ter quebrado.
Em vez de ser informado de que novos códigos de configuração podem ser criados em 12 horas, o WhatsApp diz ao usuário para tentar novamente em menos de um segundo.
Se o ataque progrediu até este ponto e o invasor enviou uma mensagem para o suporte do WhatsApp antes da vítima, o alvo enfrentará uma grande dor de cabeça ao tentar recuperar sua conta. Os pesquisadores disseram que a esta altura é “tarde demais” e, em vez de lidar com um sistema de ajuda automatizado, a vítima terá que tentar localizar alguém para falar pessoalmente.
Falando sobre a ameaça, Jake Moore da ESET disse: “Este é mais um hack preocupante, que pode afetar milhões de usuários que podem ser potencialmente alvos deste ataque. Com tantas pessoas dependendo do WhatsApp como sua principal ferramenta de comunicação social e profissional efeitos, é alarmante a facilidade com que isso pode ocorrer. “
Embora um porta-voz do WhatsApp tenha dito “fornecer um endereço de e-mail com sua verificação em duas etapas ajuda nossa equipe de atendimento ao cliente a ajudar as pessoas caso elas encontrem esse problema improvável. As circunstâncias identificadas por este pesquisador violariam nossos termos de serviço e encorajamos quem precisar de ajuda enviar um e-mail para nossa equipe de suporte para que possamos investigar. “