Dave Lee
Uma ferramenta recém-lançada explora uma vulnerabilidade no WhatsApp e permite “colocar palavras na boca das pessoas”, segundo pesquisadores.
Uma equipe da empresa de segurança cibernética Checkpoint demonstrou como a ferramenta pode ser usada para alterar o texto dentro de mensagens citadas – ou seja, naquele recurso que permite citar uma mensagem previamente enviada para comentá-la ou reagir a ela com um emoji, por exemplo –, fazendo com que pareça que uma pessoa disse algo que não falou.
O pesquisador Oded Vanunu disse à BBC que a ferramenta possibilita que “agentes maliciosos” manipulem conversas na plataforma.
Procurado, o Facebook, que é dono do WhatsApp, afirmou que revisou o problema um ano atrás e “que é falso sugerir que há uma vulnerabilidade na segurança que oferecemos” no app de mensagens.
“O cenário descrito aqui é apenas”, continua a nota da empresa, “o equivalente a alterar respostas em uma troca de emails para fazer parecer algo que uma pessoa não disse”.
Nomes também alterados
A ferramenta foi demonstrada na Black Hat, uma conferência de segurança cibernética em Las Vegas, como continuação de uma pesquisa publicada pela Checkpoint no ano passado.
“É uma vulnerabilidade que permite que um usuário mal-intencionado crie notícias falsas e fraudes”, explicou o Vanunu.
A ferramenta possibilita manipular o recurso de citação do WhatsApp para parecer que alguém escreveu algo que jamais escreveu.
“Você pode mudar completamente o que alguém diz”, disse Vanunu. “Você pode manipular completamente todos os personagens da citação.”
A ferramenta também permite que um invasor altere como o remetente da mensagem é identificado, tornando possível atribuir um comentário a uma fonte diferente.
Uma terceira questão destacada pelos pesquisadores foi corrigida com sucesso pelo Facebook. Essa falha poderia levar os usuários a acreditar que eles estavam enviando uma mensagem privada para uma pessoa, quando, na verdade, sua resposta tinha ido para um grupo público.
Mas segundo Vanunu, o Facebook disse a eles que os outros problemas não poderiam ser resolvidos devido a “limitações de infraestrutura” no WhatsApp.
A tecnologia de criptografia usada pelo WhatsApp tornou extremamente difícil – talvez impossível – para a empresa monitorar e verificar a autenticidade das mensagens enviadas pelos usuários.
Outras possíveis medidas para acabar com os problemas identificados podem resultar em mudanças na usabilidade do aplicativo, disseram os pesquisadores.
Em sua nota, o Facebook também falou disso. “Precisamos ficar atentos ao fato de que endereçar as preocupações levantadas por esses pesquisadores poderia fazer o WhatsApp menos privado – como armazenando informações sobre a origem das mensagens”, afirmou a empresa.
Por que expor esse problema?
Quando questionado pela BBC sobre por que sua equipe lançaria uma ferramenta que tornasse mais fácil para os outros explorarem a vulnerabilidade, Vanunu defendeu a medida, dizendo que esperava que isso provocasse discussões.
“(O WhatsApp) atende 30% da população global. É nossa responsabilidade. Há um grande problema com notícias falsas e manipulação. Sua infraestrutura atende a mais de 1,5 bilhão de usuários.
“Não podemos deixar de lado e dizer: ‘Ok, isso não está acontecendo.'”
A disseminação de desinformação no WhatsApp tem sido uma das principais causas de preocupação, particularmente em países como a Índia e o Brasil, onde a desinformação levou a casos de violência e, em alguns casos, morte.
O WhatsApp fez alterações em sua plataforma em um esforço para reduzir a disseminação de desinformação, como a limitação do número de vezes que uma mensagem poderia ser encaminhada.