O WhatsApp, mais até que o Telegram, é uma plataforma de comunicações instantâneas usada diariamente por milhões de utilizadores, tendo bons mecanismos de segurança. Mesmo assim, existem algumas possibilidades preocupantes.
A partir dos mecanismos de recuperação de conta - os métodos de reposição da palavra-passe do utilizador - é possível que alguém, mal-intencionado, esteja à espera que usem esta rota. Em particular, a mensagem deixada pelo WhatsApp no correio de voz.
Cuidado com o Correio de Voz do WhatsApp
O caso foi exposto pelo blog Un informático en el lado del mal, publicação a cargo do pirata informático espanhol conhecido por Chema Alonso onde detalha e alerta para alguns métodos que podem ser usados com vista à obtenção das credenciais.
Entre as metodologias de exploit, algumas são simples, sendo levadas a cabo com a ajuda do correio de voz no WhatsApp. Mais concretamente, a mensagem de áudio que é deixada pela plataforma caso o utilizador não atenda a chamada de autenticação.
Vale relembrar que este é um dos métodos que podemos usar para recuperar o acesso à nossa conta, ou autenticar-mo-nos num novo dispositivo móvel. Apesar de não ser a primeira via de autenticação, é um dos meios à disposição do utilizador.
Simplificando, ao instalar o WhatsApp num novo telefone temos que nos autenticar caso já tenhamos conta no serviço. Ora, podemos fazê-lo através do código que chega através da SMS de verificação ao nosso dispositivo. Além disso, também o podemos fazer ao receber uma chamada telefónica automática onde o código é ditado - uma das opções de acessibilidade do WhatsApp.
Sucede que, nas instâncias em que a chamada de autenticação não é atendida, o WhatsApp deixará esse mesmo ditado com o código de autenticação no correio de voz. É aqui que reside a vulnerabilidade que permite aos hackers roubar contas.
O procedimento usado para roubar contas do WhatsApp
- Introduzir o número de telefone da vítima para verificar a conta. Será enviada uma SMS com o código de verificação para o telefone da mesma.
- Caso o código não seja usado no intervalo de 1 minuto, selecionam a opção de verificar a conta através de uma chamada.
- Caso a vítima não atenda a chamada de verificação, a plataforma WhatsApp deixará uma mensagem de voz - correio de voz - com o código de autenticação.
O perigo reside na possibilidade de o meliante poder aceder a esta mensagem de voz sem ter, fisicamente, o nosso dispositivo móvel, sendo esta a situação vincada pela publicação supracitada. Note-se que para aceder à caixa de correio de voz de um determinado número telefónico alheio é necessário um código - PIN - de 4 dígitos. Por norma este código é relativamente simples.
Mesmo que não adivinhem à primeira, esta tipologia de ataque permite que o hacker tente vezes sem conta diferentes combinações do código de 4 dígitos. A lista de passwords mais utilizadas atesta o quão simples pode ser adivinhar quatro algarismos.
Provando-se a real possibilidade de mesmo sem ter o nosso telefone alguém nos roubar a conta, caso o atacante tenha acesso físico ao nosso dispositivo móvel o processo torna-se incrivelmente simples. Basta saber o nosso número de telefone e atender uma chamada - e não é necessário desbloquear o smartphone para atender uma chamada.
O Telegram também pode sofrer o mesmo ataque
Também o Telegram pode ser atacado com um procedimento similar, mas com algumas nuances. De igual modo, poderemos escolher entre as duas vias de recuperação de conta, a SMS com código de autenticação, ou a chamada telefónica.
A diferença consiste no facto e o Telegram não deixar uma mensagem no Correio de Voz do utilizador caso não se atenda a chamada de verificação. Desse modo, o hacker não consegue aceder à conta caso não tenha - fisicamente - o smartphone da vítima.
Face ao exposto podemos apontar o Telegram como plataforma mais segura contra este tipo de exploit.
A publicação refere ainda que há um grande número de organizações dedicadas aos ataques SAPPO: Spear APPs to seal OAuth-tokens. Um método que visa exatamente a exploração dos meios de autenticação e recuperação de conta. Algo que pode afetar contas protegidas pelo método de autenticação em dois fatores (2FA), e sobretudo as contas menos protegidas (1FA).
A título de curiosidade e utilidade, vê as melhores VPN do momento, com várias soluções de segurança online.
Editores 4gnews recomendam:
- Burlas no MB Way: confirmada a primeira pena de prisão em Portugal
- Revolut revela onde os portugueses gastaram mais dinheiro em 2020
- Xiaomi Mi 11 voa de drone e grava vídeo que mostra a sua qualidade
