Uma falha de privacidade no WhatsApp, aplicativo de mensagens instantâneas com mais de 2 bilhões de usuários globalmente, está sendo explorada por hackers para contornar o recurso “Visualizar uma vez” e permitir que as mensagens sejam vistas novamente.
O Meta afirma que o recurso “Ver uma vez” do WhatsApp (introduzido há três anos) permite que os usuários compartilhem fotos, vídeos e mensagens de voz de forma privada, uma vez que o destinatário não pode encaminhar, compartilhar, copiar ou capturar a tela dessas mensagens, que desaparecem automaticamente após serem abertas.
"Depois de enviar uma foto, vídeo ou mensagem de voz com o recurso 'Visualizar uma vez', você não poderá visualizá-los novamente", explica a empresa em sua página de suporte.
"Toda foto ou vídeo enviado não será salvo na Galeria ou Fotos do destinatário, e o destinatário também não poderá fazer capturas de tela do conteúdo compartilhado com essa opção."
No entanto, o recurso “Ver uma vez” impede capturas de tela apenas em dispositivos móveis, pois as plataformas de desktop e Web não possuem essa restrição.
Além disso, a equipe de pesquisa da Zengo X descobriu que o Meta implementou o recurso de forma que os pesquisadores consideram "negligente", permitindo que hackers salvem e compartilhem facilmente cópias de mensagens enviadas com o recurso “Ver uma vez”.
"Divulgamos nossas descobertas de forma responsável à Meta, mas ao perceber que o problema já estava sendo explorado, decidimos torná-las públicas para proteger a privacidade dos usuários do WhatsApp", afirmou o CTO da Zengo, Tal Be'ery.
Os pesquisadores da Zengo revelaram que as mensagens "Ver uma vez" são enviadas para todos os dispositivos do destinatário e incluem um URL para os dados criptografados armazenados nos servidores do WhatsApp, além da chave para descriptografá-los. Essas mensagens funcionam de maneira semelhante às mensagens normais, mas com um sinalizador que indica "Ver uma vez".
Falsa sensação de privacidade
Be'ery explicou que, apesar de o recurso “Ver uma vez” do WhatsApp permitir que os usuários enviem mensagens que deveriam ser visualizadas apenas uma vez, essas mensagens são enviadas para todos os dispositivos do destinatário, mesmo aqueles que não têm permissão para exibi-las. Além disso, as mensagens não são excluídas imediatamente dos servidores do WhatsApp após o download.
Isso impossibilita limitar a exposição da mídia a ambientes controlados, especialmente porque algumas versões dessas mensagens contêm visualizações de baixa qualidade que podem ser exibidas sem necessidade de download.
Os hackers podem contornar esse recurso de privacidade alterando o sinalizador "Ver uma vez" para "falso", permitindo que a mensagem seja baixada, encaminhada e compartilhada.
"A privacidade é fundamental para a troca de mensagens instantâneas. O WhatsApp reconheceu isso ao oferecer criptografia de ponta a ponta (E2EE) como padrão para suas conversas", concluiu Be'ery. "No entanto, pior do que a falta de privacidade é a falsa sensação de segurança, em que os usuários acreditam que estão protegidos quando, na verdade, não estão. O recurso 'Ver uma vez' do WhatsApp atualmente oferece essa falsa sensação de privacidade e precisa ser completamente corrigido ou abandonado."
Embora a equipe da Zengo tenha sido a primeira a relatar a falha à Meta e a publicar um relatório detalhando a questão, a vulnerabilidade tem sido explorada há pelo menos um ano. Alguns até criaram extensões de navegador para facilitar o processo de ignorar o sinalizador "Ver uma vez".
Atualmente, há pelo menos duas extensões disponíveis no Google Chrome, uma delas lançada em 2023, que desativam o sinalizador e permitem que o recurso seja ignorado.
A Meta afirmou que está implementando mudanças no recurso "Ver uma vez". Embora uma correção esteja a caminho para a versão Web do WhatsApp, ainda não está claro se a falha pode ser explorada em aplicativos personalizados do WhatsApp.
“Nosso programa de recompensas por bugs é uma forma importante de recebermos feedback valioso de pesquisadores externos, e já estamos no processo de implementar atualizações para o recurso ‘Ver uma vez’ na Web. Continuamos a incentivar os usuários a enviar mensagens do tipo 'Ver uma vez' apenas para pessoas de confiança”, declarou a empresa.
Via - BC
Comments