Pesquisadores demonstraram que era possível enviar mais de 100 milhões de números de telefone por hora aos servidores do WhatsApp para verificar quais deles estavam vinculados a contas ativas - o que permitiu confirmar cerca de 3,5 bilhões de contas associadas. A falha foi comunicada à Meta e já foi corrigida.
WhatsApp e o mecanismo de descoberta de contatos (números de telefone)
Ao instalar o WhatsApp no smartphone, o app costuma oferecer um recurso prático: identificar, dentro da sua lista de contatos, quais pessoas também usam o serviço. Esse mecanismo de descoberta de contatos facilita a vida de quem já trocou número de telefone com alguém, porque reduz etapas para iniciar uma conversa no mensageiro.
O problema, porém, é que pesquisadores da Universidade de Viena e da SBA Research constataram que esse processo de descoberta tinha uma brecha relevante do ponto de vista de segurança.
Como a enumeração de números expôs dados públicos de contas
Na prova de conceito, os pesquisadores mostraram que dava para abusar do mecanismo automatizando consultas em grande escala: em vez de checar poucos contatos, seria possível submeter mais de 100 milhões de números de telefone por hora para testar combinações e descobrir quais números correspondiam a contas do WhatsApp.
Com isso, eles conseguiram confirmar aproximadamente 3,5 bilhões de contas. Além da confirmação, o processo também permitia obter informações públicas que usuários associam ao número de telefone no WhatsApp. Dependendo do caso, isso incluía um texto do perfil e uma foto de perfil.
Um problema de segurança (limitação de requisições)
“Em condições normais, um sistema não deveria responder a um volume tão alto de solicitações em tão pouco tempo, principalmente quando elas vêm de uma única fonte”, explicou Gabriel Gegenhuber, autor principal do estudo. “Esse comportamento evidenciou a falha subjacente, que nos permitiu enviar um número praticamente ilimitado de requisições ao servidor e, assim, mapear dados de usuários no mundo todo.”
Segundo o comunicado da Universidade de Viena, a partir dos pontos de dados obtidos na enumeração, os pesquisadores ainda poderiam derivar outros detalhes por correlação - como o sistema operacional utilizado e o tempo de existência da conta, entre outros. A universidade destacou que “o estudo mostra que mesmo essa quantidade limitada de dados por usuário pode revelar informações importantes, tanto em nível macroscópico quanto individual”.
Vale notar que esse tipo de falha se conecta a um tema recorrente em segurança: quando faltam controles robustos de rate limiting (limite de requisições), detecção de automação e barreiras contra abuso, serviços que parecem inofensivos no uso cotidiano podem virar uma “API” para coleta em massa. Na prática, isso abre espaço para mapeamento de usuários e posterior engenharia social.
A correção da Meta e o impacto no WhatsApp
A notícia positiva é que, como a descoberta foi feita por pesquisadores, o caso foi reportado à Meta de forma responsável. As informações coletadas no experimento foram apagadas, e a empresa colaborou com a equipe para mitigar o problema. Assim, no cenário atual, não é mais possível verificar sistematicamente “todos os números de telefone possíveis” no WhatsApp da mesma forma descrita no estudo.
“Já estávamos trabalhando em sistemas avançados contra raspagem, e este estudo teve um papel decisivo para colocar essas novas defesas à prova e confirmar sua eficácia imediata”, afirmou Nitin Gupta, vice-presidente de engenharia do WhatsApp, em declaração citada pela revista Wired. Ele também disse que a empresa não tem evidências de que a falha tenha sido explorada por agentes mal-intencionados.
O que não foi exposto: mensagens privadas e dados não públicos
Apesar do risco, há limites claros do que a brecha alcançava. As mensagens privadas no WhatsApp - que são protegidas por criptografia - não foram reveladas por esse problema. Além disso, informações que o usuário não tornou públicas também não eram diretamente expostas por esse vetor específico.
Mesmo assim, esse episódio serve como lembrete prático: quanto mais campos públicos você mantém no perfil (como foto e recado), maior a superfície de exposição caso ocorram falhas semelhantes. Para reduzir riscos, é recomendável revisar as configurações de privacidade do WhatsApp e restringir quem pode ver foto, recado e informações do perfil, especialmente se você prefere não ser identificável por pessoas fora do seu círculo.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário