ESET alerta sobre a possibilidade de bloquear o acesso ao aplicativo apenas por meio de um nรบmero de telefone e sem exigir nenhuma aรงรฃo do usuรกrio
Aย ESET, empresa lรญder em detecรงรฃo proativa de ameaรงas, alerta os usuรกrios do WhatsApp sobre um possรญvel ataque ao qual os cibercriminosos podem recorrer e por meio do qual podem suspender contas usando apenas o nรบmero de telefone dos usuรกrios.
O golpe ocorre da seguinte maneira: ao configurar uma conta WhatsApp pela primeira vez em um dispositivo, o nรบmero de telefone รฉ solicitado para enviar um cรณdigo de verificaรงรฃo. Assim que o cรณdigo รฉ inserido, a chave do duplo fator de autenticaรงรฃo (2FA) รฉ solicitada para confirmar a identidade do usuรกrio. Esse ataque especรญfico se aproveita de um lapso na seguranรงa de dois processos independentes do WhatsApp.
No entanto, nรฃo hรก como impedir que alguรฉm use qualquer nรบmero no processo de verificaรงรฃo. Se um invasor fizer isso, o usuรกrio receberรก chamadas e mensagens do WhatsApp com um cรณdigo de verificaรงรฃo, junto com uma notificaรงรฃo solicitando que nรฃo compartilhe o cรณdigo de registro com ninguรฉm. O cibercriminoso pode fazer isso repetidamente e o usuรกrio pode nรฃo prestar atenรงรฃo ร s mensagens, considerando que รฉ um erro.
Essas solicitaรงรตes acabam por acionar o limite do WhatsApp para o nรบmero de vezes que os cรณdigos podem ser enviados e tambรฉm faz com que o cรณdigo seja bloqueado apรณs vรกrias tentativas mal sucedidas, em ambos os casos por 12 horas. Durante esse tempo, o aplicativo continuarรก a funcionar normalmente, mas o invasor terรก bloqueado a capacidade de enviar um novo cรณdigo ou inseri-lo na tela de verificaรงรฃo. Portanto, o tempo de inatividade pode nรฃo afetar o usuรกrio, a menos que ele efetue logout durante esse perรญodo.
O invasor pode, entรฃo, criar um novo endereรงo de e-mail e enviar uma mensagem para a equipe de suporte do WhatsApp com o assunto “telefone perdido/roubado”, solicitando a desativaรงรฃo do nรบmero do usuรกrio. A plataforma, aparentemente, irรก verificar a “identidade” apenas enviando um e-mail automรกtico solicitando o nรบmero de telefone do usuรกrio; assim, o atacante se faz passar pela identidade do usuรกrio legรญtimo.
Desta forma, o WhatsApp irรก desativar a conta e, com o limite de tentativas de verificaรงรฃo ultrapassado, o usuรกrio nรฃo poderรก fazer login atรฉ 12 horas depois e o cรณdigo de verificaรงรฃo precisa ser solicitado novamente.
Infelizmente, se o invasor nรฃo parar e decidir repetir esse processo trรชs vezes consecutivas que aciona o bloqueio de 12 horas, o WhatsApp passarรก por uma falha e exibirรก uma mensagem dizendo “tente novamente apรณs -1 segundo”. Os pesquisadores alertam que, se o invasor chegar a esse ponto, nรฃo haverรก como o usuรกrio recuperar a conta a menos que encontre alguรฉm no WhatsApp disposto a ajudar.
Em declaraรงรตes ร revista Forbes, um porta-voz do WhatsApp disse que โfornecer um endereรงo de e-mail e duplo fator de autenticaรงรฃo ajudarรก nossa equipe de atendimento ao cliente a ajudar as pessoas caso encontrem esse problema. As circunstรขncias identificadas por este investigador violariam nossos termos de serviรงo e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar”.
O problema chamou a atenรงรฃo do especialista em seguranรงa da ESET Jake Moore, queย recentemente mostrou como alguรฉm pode assumir o controle de sua conta do WhatsApp apenas sabendo seu nรบmero de telefone. Moore advertiu que a nova falha deve ser levada a sรฉrio, especialmente porque pode afetar milhรตes de pessoas e รฉ fรกcil de ser feita.
โNรฃo hรก como optar por nรฃo ser descoberto no WhatsApp. Qualquer pessoa pode digitar um nรบmero de telefone para ver se hรก uma conta associada. Alรฉm disso, melhorar a privacidade ajudaria a proteger os usuรกrios contra isso, alรฉm de forรงar as pessoas a implementar um PIN de verificaรงรฃo em duas etapas”,ย acrescentou Moore.
Para saber mais sobre seguranรงa da informaรงรฃo, acesse o portal de notรญcias da ESET:ย https://www.
