Seja Seguidor do Nosso Blog

Translate

quinta-feira, 11 de janeiro de 2018

Falha no WhatsApp pode permitir que estranhos leiam mensagens de grupos


WhatsApp: funções que chegaram em 2017
WhatsApp: funções que chegaram em 2017
A vulnerabilidade tem um conceito simples, porém a sua exploração é complexa. Ela usa a regra de apenas o administrador de um grupo fazer o convite para novos participantes. O problema está em não haver qualquer tipo de autenticação para esses convites. Um hacker que tenha o controle do servidor, por exemplo, poderia adicionar um contato dentro de um grupo, sem a permissão dos membros ou do próprio administrador.
O infiltrado passaria a ter os mesmo privilégios dos participantes. Todos os membros compartilhariam da chave criptografada, permitindo que o penetra possa ler as conversas após ser adicionado. As mensagens antigas trocadas dentro do grupo não poderiam ser visualizadas.

Assim como acontece com contatos adicionados normalmente, o grupo veria a mensagem de alerta da adição de um novo participante. O problema, apontado pelos pesquisadores, é que um hacker com o controle do servidor poderia atrasar o alerta ao bloquear este tipo de mensagem.
A descoberta joga desconfiança na criptografia ponta a ponta do WhastsApp. Na teoria, a empresa poderia ser forçada por governos a usar o artifício para grampear grupos. Vale lembrar que aqui no Brasil, por exemplo, o aplicativo chegou a ser bloqueado por não colaborar com a Justiça. Alguns países, com a premissa de garantir a segurança, sugeriram até que o app desenvolva um backdoor, uma forma de se ter acesso às conversas criptografadas

Resposta do WhatsApp

Os pesquisadores reportaram a falha ao WhatsApp em julho de 2017. Como resposta, a empresa melhorou a segurança do aplicativo, tornando mais difícil identificar as mensagens mesmo que um invasor consiga decifrar a chave criptográfica.
Entretanto, a falha que permite adicionar pessoas em grupos não vai ser corrigida. O motivo é a dificuldade da vulnerabilidade ser explorada, segundo o próprio WhatsApp, já que, além do controle do servidor, o infiltrado seria rapidamente identificado por conta do alerta de novos membros. Outro motivo é que mudar a tecnologia para prevenir este tipo de ataque eliminaria o recurso que permite que um membro seja adicionado ao clicar em uma URL.
Como falar com alguém no WhatsApp sem adicionar aos contatos? Descubra no Fórum do TechTudo.
às

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.

Assinar: Postar comentários (Atom)