WhatsApp e Telegram são alvo cada vez mais apetecível para hackers

Rui Bacelar
Comentar

O WhatsApp, mais até que o Telegram, é uma plataforma de comunicações instantâneas usada diariamente por milhões de utilizadores, tendo bons mecanismos de segurança. Mesmo assim, existem algumas possibilidades preocupantes.

A partir dos mecanismos de recuperação de conta - os métodos de reposição da palavra-passe do utilizador - é possível que alguém, mal-intencionado, esteja à espera que usem esta rota. Em particular, a mensagem deixada pelo WhatsApp no correio de voz.

Cuidado com o Correio de Voz do WhatsApp

O caso foi exposto pelo blog Un informático en el lado del mal, publicação a cargo do pirata informático espanhol conhecido por Chema Alonso onde detalha e alerta para alguns métodos que podem ser usados com vista à obtenção das credenciais.

Entre as metodologias de exploit, algumas são simples, sendo levadas a cabo com a ajuda do correio de voz no WhatsApp. Mais concretamente, a mensagem de áudio que é deixada pela plataforma caso o utilizador não atenda a chamada de autenticação.

WhatsApp
1.º método de autenticação - SMS com código para o WhatsApp.

Vale relembrar que este é um dos métodos que podemos usar para recuperar o acesso à nossa conta, ou autenticar-mo-nos num novo dispositivo móvel. Apesar de não ser a primeira via de autenticação, é um dos meios à disposição do utilizador.

Simplificando, ao instalar o WhatsApp num novo telefone temos que nos autenticar caso já tenhamos conta no serviço. Ora, podemos fazê-lo através do código que chega através da SMS de verificação ao nosso dispositivo. Além disso, também o podemos fazer ao receber uma chamada telefónica automática onde o código é ditado - uma das opções de acessibilidade do WhatsApp.

WhatsApp
2.º método de verificação - chamada de confirmação para o WhatsApp.

Sucede que, nas instâncias em que a chamada de autenticação não é atendida, o WhatsApp deixará esse mesmo ditado com o código de autenticação no correio de voz. É aqui que reside a vulnerabilidade que permite aos hackers roubar contas.

O procedimento usado para roubar contas do WhatsApp

  • Introduzir o número de telefone da vítima para verificar a conta. Será enviada uma SMS com o código de verificação para o telefone da mesma.
  • Caso o código não seja usado no intervalo de 1 minuto, selecionam a opção de verificar a conta através de uma chamada.
  • Caso a vítima não atenda a chamada de verificação, a plataforma WhatsApp deixará uma mensagem de voz - correio de voz - com o código de autenticação.

WhatsApp

O perigo reside na possibilidade de o meliante poder aceder a esta mensagem de voz sem ter, fisicamente, o nosso dispositivo móvel, sendo esta a situação vincada pela publicação supracitada. Note-se que para aceder à caixa de correio de voz de um determinado número telefónico alheio é necessário um código - PIN - de 4 dígitos. Por norma este código é relativamente simples.

Mesmo que não adivinhem à primeira, esta tipologia de ataque permite que o hacker tente vezes sem conta diferentes combinações do código de 4 dígitos. A lista de passwords mais utilizadas atesta o quão simples pode ser adivinhar quatro algarismos.

Provando-se a real possibilidade de mesmo sem ter o nosso telefone alguém nos roubar a conta, caso o atacante tenha acesso físico ao nosso dispositivo móvel o processo torna-se incrivelmente simples. Basta saber o nosso número de telefone e atender uma chamada - e não é necessário desbloquear o smartphone para atender uma chamada.

O Telegram também pode sofrer o mesmo ataque

Telegram
Replicação do método de ataque à conta do Telegram.

Também o Telegram pode ser atacado com um procedimento similar, mas com algumas nuances. De igual modo, poderemos escolher entre as duas vias de recuperação de conta, a SMS com código de autenticação, ou a chamada telefónica.

A diferença consiste no facto e o Telegram não deixar uma mensagem no Correio de Voz do utilizador caso não se atenda a chamada de verificação. Desse modo, o hacker não consegue aceder à conta caso não tenha - fisicamente - o smartphone da vítima.

Face ao exposto podemos apontar o Telegram como plataforma mais segura contra este tipo de exploit.

A publicação refere ainda que há um grande número de organizações dedicadas aos ataques SAPPO: Spear APPs to seal OAuth-tokens. Um método que visa exatamente a exploração dos meios de autenticação e recuperação de conta. Algo que pode afetar contas protegidas pelo método de autenticação em dois fatores (2FA), e sobretudo as contas menos protegidas (1FA).

A título de curiosidade e utilidade, vê as melhores VPN do momento, com várias soluções de segurança online.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.