WhatsApp tem falha que expõe quando você esteve online e com quem conversa

Para muita gente, aquela olhadinha no WhatsApp é a primeira e última ação do dia – seja para cumprimentar um ente querido ou, simplesmente, saber se alguém está a fim de conversar ou mandar um aviso. Agora, uma falha descoberta no sistema de verificação sobre a atividade online dos utilizadores do app pode acabar revelando dados sobre a rotina das pessoas, algo bastante útil para um ataque de engenharia social.

A descoberta é de Rob Heaton, um analista de segurança que, no passado, foi o responsável pela descoberta de outras brechas no WhatsApp. Agora, com uma extensão do Google Chrome de programação simples, ele foi capaz de obter acesso ao histórico de atividade dos usuários do mensageiro, descobrindo exatamente quando eles estiveram online pela última vez.

É a partir da análise desses dados que um atacante seria capaz de verificar a atividade de um usuário. Ao observar longos períodos de atividade de alguém que sabe ser um heavy user, por exemplo, ele entenderia em quais horários aquela pessoa dorme. Olhadas mais esporádicas no mensageiro podem significar o período em que ele está no trabalho, enquanto uma permanência maior indicaria as horas de folga.

De posse dos dados de diferentes usuários, também seria possível inferir a interação entre eles por meio da coincidência de horários. Um casal de namorados, por exemplo, pode ter as horas sincronizadas devido ao momento em que um, ou ambos, vão dormir, enquanto a permanência de alguém além do momento em que o cônjuge está inativo também poderia indicar problemas no relacionamento.

De acordo com Heaton, o problema está localizado na forma como o WhatsApp lida com seu sistema de status online. Enquanto o usuário pode escolher esconder a informação sobre o último horário em que esteve conectado, não é possível fazer o mesmo com o dado de que ele está ativo naquele momento. Ele aparece para todos os usuários da plataforma e fica registrado no sistema. Daí vem a exploração da falha para fins maliciosos.

Além dos ataques de engenharia social ou simples espionagem de hábitos, a análise desses dados também poderia ser usada para crimes do “mundo real”, como assaltos ou invasões domésticas. Um bandido poderia saber, por exemplo, quando alguém não está em casa, enquanto um detetive poderia usar tais informações para espionar alguém a mando dos clientes.

Basta um notebook e quatro linhas de código para que tudo funcione, a partir da versão web do WhatsApp. O sistema é capaz, até mesmo, de funcionar sozinho, catalogando os dados de conexão dos usuários e os entregando em uma lista. O único “empecilho”, conforme aponta Heaton, é que somente uma pessoa pode ser monitorada por computador, exigindo que uma nova máquina esteja disponível para cada pessoa que estiver sendo espionada.

O WhatsApp não se pronunciou sobre o assunto.

Fonte: Rob Heaton