Vulnerabilidade explorava padrões em chaves de criptografia e facilitava técnicas de device fingerprinting

WhatsApp – Uma falha no WhatsApp permitia que terceiros identificassem o sistema operacional utilizado pelo destinatário de uma mensagem, além de revelar informações sobre a hierarquia do dispositivo e o tempo de uso. A brecha, corrigida de forma silenciosa pela Meta, abria espaço para a prática conhecida como device fingerprinting, técnica que auxilia ataques direcionados ao indicar se a vítima usava Android ou iOS.

A correção vem sendo implementada sem anúncio oficial. A Meta não registrou o problema na base da Common Vulnerability Enumeration (CVE) e também não recompensou formalmente os pesquisadores que identificaram a falha.

LEIA: Banco Central reforça segurança da nuvem e manda isolar Pix

O problema estava relacionado a valores previsíveis nos identificadores de chaves de criptografia pré-determinados para cada tipo de dispositivo. Esses padrões tornavam possível reconhecer o sistema operacional com relativa precisão, mesmo sem acesso direto ao aparelho da vítima.

Embora a brecha não configurasse um ataque direto, especialistas consideram a falha sensível, já que ela facilita a identificação da plataforma alvo. A partir dessa informação, atacantes podem direcionar golpes ou explorações específicas para determinado sistema operacional, aumentando as chances de sucesso.

Correção foi parcial, diz pesquisador

Em publicação recente no Medium, o pesquisador Tal Be’ery afirmou que a Meta já implementou medidas de mitigação e conseguiu corrigir parte do problema. No entanto, segundo ele, a vulnerabilidade ainda não foi eliminada completamente.

“Os atacantes ainda conseguem distinguir com alta precisão entre celulares Android e iPhone com base no ID PK de uso único”, explicou Be’ery. De acordo com ele, o iPhone inicializa esse parâmetro com valores baixos e os incrementa lentamente ao longo de alguns dias, enquanto o Android utiliza valores aleatórios em todo o espaço de 24 bits, o que torna os dispositivos facilmente distinguíveis.

Apesar das limitações, Be’ery avalia que a correção parcial pode representar apenas o primeiro passo para uma solução mais abrangente. Se implementadas corretamente, as mudanças devem inviabilizar esse tipo de fingerprinting no futuro.

Falta de reconhecimento gera críticas

Um dos principais pontos criticados por Be’ery é a postura adotada pelo WhatsApp diante do caso. Mesmo atuando para mitigar a vulnerabilidade, a empresa não registrou oficialmente o problema nem ofereceu recompensas formais por meio de seu programa de bug bounty.

Em declaração ao site Security Week, a Meta classificou a falha como de “baixa gravidade”. A empresa argumenta que o device fingerprinting pode estar ligado ao próprio sistema operacional, não é uma prática exclusiva do WhatsApp e, em geral, é considerado pela indústria de cibersegurança como uma vulnerabilidade de impacto reduzido.

Segundo o próprio Be’ery, no entanto, a Meta acabou concedendo uma recompensa indireta. A denúncia ajudou a identificar problemas adicionais relacionados a mensagens inválidas e contribuiu para aprimorar o processo de triagem do programa de recompensas da empresa.

Atenção continua sendo importante

O device fingerprinting representa apenas uma etapa dentro de um ataque cibernético mais amplo, e o caso do WhatsApp não é isolado. A prática é comum, especialmente em navegadores, já que identificar o sistema utilizado permite ataques mais eficientes.

No caso do WhatsApp, as recomendações de segurança permanecem as mesmas:

• Desconfiar de arquivos enviados por números desconhecidos;
• Evitar clicar em links recebidos em grupos ou por contatos que não são conhecidos;
• Nunca fornecer o código de verificação do mensageiro a terceiros, em nenhuma hipótese.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/wichayada)