A verificação em duas etapas anunciada nesta quinta-feira (9) pelo WhatsApp, contorna a “brecha” divulgada pelo jornal inglês “The Guardian” em meados de janeiro. A vulnerabilidade permite que um espião receba mensagens do WhatsApp destinadas a outra pessoa em um caso específico, mas a senha vai mudar o comportamento do WhatsApp justamente nessas situações.
A falha, descoberta pelo pesquisador Tobias Boelter, envolvia o reenvio automático de mensagens pendentes no WhatsApp. Esse reenvio acontece quando uma pessoa troca de aparelho e ativa o WhatsApp com o mesmo número em outro lugar. Qualquer mensagem enviada e que não chegou a ser recebida pelo aparelho anterior será automaticamente reenviada para o aparelho novo.
Como o WhatsApp pratica a chamada “criptografia ponta-a-ponta”, um modo mais seguro de comunicação que o usado pela maioria dos programas comuns de comunicação, normalmente não deveria ser possível que um aparelho diferente do destinatário inicial recebesse as mensagens. É por isso que a mensagem precisa ser reenviada.
É nesse sentido que é possível fazer com que mensagens ainda não recebidas pelo destinatário real sejam encaminhadas a outro aparelho. Para isso, basta que o espião tenha algum meio de interceptar as mensagens SMS recebidas pelo destinatário para cadastrar o SMS no aparelho que deve receber as mensagens.
Com a senha na autenticação de dois fatores, um número reativado sem senha não mais recebe as mensagens que estavam pendentes de recebimento. Sendo assim, caso o número seja reativado por outra pessoa, as mensagens não serão reenviadas e a brecha foi contornada.
Como ativar e como funciona
A verificação em duas etapas é ativada nas Configurações do WhatsApp, em “Conta > Verificação de duas etapas“.
A verificação em duas etapas é ativada nas Configurações do WhatsApp, em “Conta > Verificação de duas etapas“.
Para usá-la, é preciso cadastrar uma senha de seis dígitos. Esta senha será solicitada toda vez que o número for reativado no WhatsApp. Opcionalmente, é possível cadastrar um e-mail que será usado para desativar essa segurança no caso de esquecimento da senha (o WhatsApp recomenda cautela com qualquer mensagem inesperada que chegue pedindo para clicar em links ligados ao WhatsApp).
Caso a senha seja esquecida e não puder ser desativada ou a conta seja abandonada (no caso de troca permanente de número), será possível reativar o WhatsApp no mesmo número sem a senha após uma semana de inatividade. No entanto, mensagens pendentes não serão entregues.
Espionagem e proteção
A vulnerabilidade descrita por Boelter e divulgada pelo “The Guardian” não é grave. Ela não é fácil de ser explorada (pois exige acesso ao SMS da vítima para ativar o WhatsApp em outro aparelho) e expõe uma quantidade bem pequena de informação (apenas as mensagens pendentes de entrega).
A vulnerabilidade descrita por Boelter e divulgada pelo “The Guardian” não é grave. Ela não é fácil de ser explorada (pois exige acesso ao SMS da vítima para ativar o WhatsApp em outro aparelho) e expõe uma quantidade bem pequena de informação (apenas as mensagens pendentes de entrega).
Quem mais poderia se beneficiar desse tipo de ataque seriam países com regimes autoritários que tentassem espionar ativistas políticos ou outros alvos de interesse do governo. No dia a dia, o risco é de alguém olhar o SMS recebido no seu telefone e ativar o seu WhatsApp em outro aparelho.
A medida também expõe mais o WhatsApp, que agora toma uma posição mais central na proteção da conta do usuário. Se antes a proteção da conta dependia totalmente do número – e, portanto, da operadora -, agora o WhatsApp pode ser ao menos requisitado a burlar a segurança criada pela senha de acesso configurada.
