O Brasil é um dos países que mais sofre com golpes de clonagem e sequestro de WhatsApp — artifício geralmente empregado por criminosos cibernéticos para obter informações sensíveis ou convencer parentes próximos a lhe “emprestar” dinheiro.
Porém, uma dupla de pesquisadores identificou — e relatou com exclusividade à Forbes — uma falha estrutural no mensageiro que pode ser abusada não para invadir contas, mas sim para invalidá-las e torná-las inutilizáveis pelos seus donos.
Luis Márquez Carpintero e Ernesto Canales Pereña perceberam que, quando um atacante tenta instalar o aplicativo em seu próprio dispositivo usando o número de outra pessoa, ele obviamente não conseguirá, já que o código de verificação será enviado por SMS ao celular do proprietário legítimo do perfil. Porém, o software permite que você force o reenvio desse código repetidamente até que esse processo de autenticação seja bloqueado por “questões de segurança” durante 12 horas.
E é aí que está o pulo do gato: nesse momento, o golpista entra em contato com o suporte técnico do WhatsApp e diz que o gadget (no caso, o da vítima) foi perdido e que o perfil do mensageiro precisa ser desativado. Sem qualquer verificação de identidade, o SAC do software aceita a solicitação e realiza o bloqueio. No fim das contas, o legítimo dono da conta acaba ficando preso fora de sua conta e o “hacker” pode realizar esse processo de maneira contínua, causando esse entrave “semi-permanente”.
Novamente, a técnica não pode ser usada para invadir ou sequestrar qualquer perfil, mas é fácil imaginar as dores de cabeça que uma trollagem dessas pode causar (especialmente se for aplicada contra contas corporativas). Carpinteiro e Pereña garantem que não há indícios de que o bug esteja sendo explorado por criminosos por enquanto — até porque é difícil conseguir alguma monetização através desse método, e os meliantes digitais sempre procuram formas de ganhar dinheiro —, mas ainda assim a situação é preocupante.
Procurado pelo Android Police, o WhatsApp se limitou a afirmar que tal técnica “viola os seus termos de uso”, mas não deu indícios de que tentará corrigir o problema.