.

.

quinta-feira, 11 de janeiro de 2018

Falha no WhatsApp pode permitir que estranhos leiam mensagens de grupos


WhatsApp: funções que chegaram em 2017
WhatsApp: funções que chegaram em 2017
A vulnerabilidade tem um conceito simples, porém a sua exploração é complexa. Ela usa a regra de apenas o administrador de um grupo fazer o convite para novos participantes. O problema está em não haver qualquer tipo de autenticação para esses convites. Um hacker que tenha o controle do servidor, por exemplo, poderia adicionar um contato dentro de um grupo, sem a permissão dos membros ou do próprio administrador.
O infiltrado passaria a ter os mesmo privilégios dos participantes. Todos os membros compartilhariam da chave criptografada, permitindo que o penetra possa ler as conversas após ser adicionado. As mensagens antigas trocadas dentro do grupo não poderiam ser visualizadas.

Assim como acontece com contatos adicionados normalmente, o grupo veria a mensagem de alerta da adição de um novo participante. O problema, apontado pelos pesquisadores, é que um hacker com o controle do servidor poderia atrasar o alerta ao bloquear este tipo de mensagem.
A descoberta joga desconfiança na criptografia ponta a ponta do WhastsApp. Na teoria, a empresa poderia ser forçada por governos a usar o artifício para grampear grupos. Vale lembrar que aqui no Brasil, por exemplo, o aplicativo chegou a ser bloqueado por não colaborar com a Justiça. Alguns países, com a premissa de garantir a segurança, sugeriram até que o app desenvolva um backdoor, uma forma de se ter acesso às conversas criptografadas

Resposta do WhatsApp

Os pesquisadores reportaram a falha ao WhatsApp em julho de 2017. Como resposta, a empresa melhorou a segurança do aplicativo, tornando mais difícil identificar as mensagens mesmo que um invasor consiga decifrar a chave criptográfica.
Entretanto, a falha que permite adicionar pessoas em grupos não vai ser corrigida. O motivo é a dificuldade da vulnerabilidade ser explorada, segundo o próprio WhatsApp, já que, além do controle do servidor, o infiltrado seria rapidamente identificado por conta do alerta de novos membros. Outro motivo é que mudar a tecnologia para prevenir este tipo de ataque eliminaria o recurso que permite que um membro seja adicionado ao clicar em uma URL.

Nenhum comentário:

Postar um comentário