Vulnerabilidade no WhatsApp pode bloquear o acesso do usuário à sua conta
Créditos: Reprodução/Forbes

Vulnerabilidade no WhatsApp pode bloquear o acesso do usuário à sua conta

Mesmo a verificação em duas etapas não é capaz de impedir isso

Os pesquisadores de segurança Luis Márquez Carpintero e Ernesto Canales Pereña descobriram uma vulnerabilidade no WhatsApp que pode bloquear permanentemente o acesso do usuário à sua conta no popular aplicativo de mensagens. Para isso o atacante só precisa do número do celular da vítima e mesmo a verificação em duas etapas não é capaz de impedir isso.

27/03/2021 às 18:15
Artigo

Novo golpe duplica WhatsApp e pede dinheiro para contatos

A conta do usuário é copiada, mas com um número diferente

Jake Moore, da empresa de segurança ESET, disse que "este é mais um hack preocupante. Um que poderia impactar milhões de usuários que poderiam potencialmente ser alvo desse ataque. Com tantas pessoas confiando no WhatsApp como sua principal ferramenta de comunicação para fins sociais e de trabalho, é alarmante em que facilidade isso pode ocorrer".

A vulnerabilidade descoberta pelos pesquisadores Luis Márquez Carpintero e Ernesto Canales Pereña envolve dois processos do WhatsApp: Quando o usuário instala o WhatsApp pela primeira vez no seu celular, ou muda de aparelho, o aplicativo de mensagens enviará um código via SMS para verificar a conta. Se o código for digitado corretamente, o aplicativo pedirá o código da verificação em duas etapas para garantir que você é mesmo o proprietário da conta.

Vulnerabilidade no WhatsApp pode bloquear o acesso do usuário à sua conta
Reprodução/Forbes

O problema é que qualquer pessoa pode instalar o WhatsApp em um celular e usar o seu número na tela de verificação. Você então receberá a mensagem com o código de verificação e receberá uma notificação do WhatsApp dizendo que um código foi solicitado e pedindo para que você não compartilhe este código com outras pessoas:

Vulnerabilidade no WhatsApp pode bloquear o acesso do usuário à sua conta
Reprodução/Forbes

Se o atacante estiver fazendo isso com o seu número de celular enquanto você usa o aplicativo normalmente, ele passará a solicitar códigos de verificação repetidamente e digitar os códigos incorretos no aplicativo. Você poderá ignorar estas solicitações, mas o problema é que o processo de verificação do WhatsApp limita a quantidade de códigos de verificação que podem ser enviados.

Continua após a publicidade

Depois de algumas tentativas o WhatsApp exibirá a opção para reenviar a SMS com o código ou para ligar para o usuário após 12 horas e interromperá temporariamente a geração de códigos de verificação. O aplicativo também impedirá a digitação de novos códigos depois de um certo número de tentativas e o atacante verá a opção para tentar novamente após 12 horas.

Embora o WhatsApp continue funcionando normalmente no celular do usuário, o atacante basicamente conseguiu impedir que novos códigos de verificação sejam enviados por pelo menos 12 horas. Isso não chega a ser necessariamente um problema, a não ser que o usuário desative o WhatsApp em seu celular ou mude de aparelho.

Dentro deste período de 12 horas, o atacante registra um novo endereço de email e envia uma mensagem para o endereço de suporte do WhatsApp - [email protected] – se passando pelo usuário e dizendo que não está conseguindo acessar sua conta porque teve o aparelho perdido ou roubado, por exemplo. Como o atacante colocou o número do celular do usuário na mensagem, o WhatsApp retornará a mensagem pedindo para confirmar o número – e o atacante fará exatamente isso.

Com a confirmação do número, o WhatsApp basicamente será desativado no aparelho do usuário para que o atacante possa ativá-lo em outro celular. Neste caso o usuário receberá uma mensagem em seu aparelho dizendo que seu número não está mais no WhatsApp em seu celular atual.

Depois disso o usuário poderá tentar verificar seu número, mas por causa do período de 12 horas mencionado acima isso não será possível. Com isso o atacante basicamente poderá assumir o controle da sua conta.

Vulnerabilidade no WhatsApp pode bloquear o acesso do usuário à sua conta
Reprodução/Forbes

Fonte: Wccftech, Forbes
User img

Fabio Rosolen

Hands-on do Moto G60: câmera de 108MP, tela de 120Hz e bateria de 6.000 mAh são os destaques

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.