Uma falha no WhatsApp permite editar mensagens de resposta e contribuir com conteúdo falso, apontou uma empresa
O WhatsApp até o momento não corrigiu o problema.
13/08/2018
Por Clic Paverama, o Clic do Vale!
Em Variedades
A empresa de segurança Check Point descobriu que o WhatsApp não verifica adequadamente certos parâmetros das mensagens, o que permite confundir o aplicativo a respeito do conteúdo e da origem de mensagens recebidas. O problema afeta o recurso de “responder” do WhatsApp, em que uma mensagem é citada como resposta.
O WhatsApp até o momento não corrigiu o problema. Segundo a Check Point, a falha “não pode ser mitigada” sem que sejam modificados aspectos estruturais do WhatsApp. Em nota, o WhatsApp destacou que esse problema não afeta a criptografia do WhatsApp, ou seja, a confidencialidade das mensagens continua protegida.
Algumas interpretações equivocadas sobre este problema afirmam que ele permite “ler” ou “adulterar” mensagens de outras pessoas, mas isso é incorreto. O problema permite apenas que alguém adultere o trecho de “resposta” nas mensagens enviadas por si próprio, mesmo quando cita outras pessoas.
Batizado de “FakesApps” pela Check Point, o erro permite que uma mensagem seja editada quando ela for incluída como citação em outra mensagem de resposta. A mensagem original não é modificada – ela apenas aparece diferente na própria resposta.
A Check Point alerta que esse truque pode contribuir com conteúdo falso caso usuários mal-intencionados tentem usurpar a confiança depositada em administradores de grupos do WhatsApp, por exemplo. Usando a falha, um usuário qualquer do grupo pode enviar uma mensagem que “cita” outra pessoa do grupo com conteúdo falso, dando a entender que aquela pessoa disse algo que jamais foi dito.
O remetente da mensagem falsa ainda será corretamente identificado pelo WhatsApp, no entanto, o que permite que os moderadores de grupos atuem para expulsar participantes que tentarem enganar os demais com esse truque.
Outro aspecto da mesma falha permite que uma mensagem seja enviada a uma pessoa de forma individual, mas “marcada”, nos bastidores, como uma mensagem de grupo. O resultado disso é que uma mensagem pode aparecer na janela de um grupo mesmo quando ela foi enviada para uma só pessoa. Se a vítima responder a essa mensagem, a resposta vai ser enviada ao grupo – mas o grupo não vai ter visto a mensagem original, que foi enviada somente para a vítima.
Falha contraria expectativas de funcionamento
O “FakesApps” descoberto pela Check Point só pode ser caracterizado como um problema porque o funcionamento do WhatsApp nos leva a crer que uma mensagem citada é idêntica a uma mensagem anterior enviada pela pessoa identificada na citação. Isso ocorre porque o WhatsApp não permite editar esses trechos de citação dentro do próprio aplicativo.
Muitos outros ambientes on-line que permitem a citação de mensagens – fóruns online, por exemplo – também não verificam se um trecho de uma mensagem citada corresponde a uma mensagem anterior. Isso, porém, não pode ser considerado uma falha, porque o funcionamento desses espaços deixa claro que a mensagem inteira – incluindo o trecho citado – depende apenas do remetente.
Com a divulgação da “FakesApps”, sabe-se agora que o trecho citado de uma resposta do WhatsApp não pode ser confiado. Para ver a mensagem original de uma resposta, basta tocar sobre ela. O aplicativo do WhatsApp vai “rolar” a conversa para exibir a mensagem original, se ela não tiver sido apagada. Isso deve funcionar inclusive com as mensagens que foram modificadas. Na dúvida, deve-se desconsiderar a autoria do citado, especialmente em grupos públicos do WhatsApp.
A possibilidade de marcar mensagens individuais como mensagens de grupo, no entanto, tem potencial para causar mais problemas, dependendo de como os hackers descobrirem que ela pode ser usada em golpes. Assim como a identificação de mensagens encaminhadas, o “FakeApps” é mais um desafio para a criptografia no WhatsApp: como os servidores da empresa não possuem acesso às mensagens enviadas, praticamente todas as verificações precisam ser embutidas no próprio aplicativo.
Fonte: O Sul