Não é de hoje que vemos problemas acontecendo em grandes empresas de Internet como Facebook, Google e outras como Telegram. Falhas em desenvolvimento de Softwares são corriqueiros e fazem parte do ciclo em todo processo já conhecido pelas fábricas de aplicativos. Muitos especialistas afirmam que a cada falha corrigida são geradas duas outras ou até mais. É nessa pegada que entram as auditorias e pesquisas que são feitas por profissionais de Qualidade e de Segurança da Informação.
Desta vez, pesquisadores da Checkpoint apresentaram na BlackHat 2019, em Las Vegas, um estudo com uma prova de conceito que mostra como eles conseguiram coletar chaves de criptografia do aplicativo e com isso realizar a comunicação ponto-a-ponto interceptando mensagens entre o dispositivo móvel e a versão Web do Whatsapp, podendo assim procurar por vulnerabilidades nesse processo.
Após conseguirem o controle da comunicação, eles simularam ataques onde seria possível alterar a identidade de um usuário que enviou uma mensagem em um grupo mesmo que o usuário não fizesse parte desse grupo.
Podemos mudar a conversa para qualquer outra. Uma mensagem com o conteúdo “Great” enviado por um membro de um grupo pode ser alterado para outra coisa como “I’m going to die in a hospital right now” e o parâmetro de usuário poderia também ser alterado para qualquer outra pessoa do grupo, afirmam os pesquisadores.
Conversa alterada. Fonte: Site checkpoint
Conversa original. Fonte: Site checkpoint
Quais os tipos de ataques foram simulados pelos pesquisadores:
- Alterar o texto de uma resposta de qualquer usuário
- Enviar uma mensagem privada para outro participante de um grupo disfarçada de uma mensagemt pública para todos os usuários, então quando a vítima (usuário alvo) responde, a mensagem estaria visível para qualquer outra pessoa na conversa
- Utilizar o recurso de citar alguém em uma conversa de grupo para mudar a identidade de quem mandou a mensagem, até mesmo se não for um membro de um grupo
Atualmente temos um debate caloroso sobre a utilização de meios de comunicação digital para a disseminação das famosas Fake News. Muitos críticos do assunto falam sobre o impacto das publicidades direcionadas que foram feitas nas últimas eleições e que poderiam ter mudado o rumo dos resultados atingidos pelos candidatos. Denúncias falam sobre possíveis ferramentas que já conseguiam utilizar vulnerabilidades conhecidas como essa e que estariam sendo usadas em chats de Whatsapp.
Contudo, nos resta aprender com tais pesquisas e termos a consciência de que nenhum tipo de comunicação é realmente segura e que devemos sempre desconfiar de mensagens, notícias e o famoso recompartilhamento de informação.
