A ESET alerta os usuários do WhatsApp sobre um possível ataque ao qual os cibercriminosos por meio do qual podem suspender contas usando apenas o número de telefone dos usuários. O golpe ocorre da seguinte maneira: ao configurar uma conta WhatsApp pela primeira vez em um dispositivo, o número de telefone é solicitado para enviar um código de verificação. Assim que o código é inserido, a chave do duplo fator de autenticação (2FA) é solicitada para confirmar a identidade do usuário. Esse ataque específico se aproveita de um lapso na segurança de dois processos independentes do WhatsApp.
No entanto, não há como impedir que alguém use qualquer número no processo de verificação. Se um invasor fizer isso, o usuário receberá chamadas e mensagens do WhatsApp com um código de verificação, junto com uma notificação solicitando que não compartilhe o código de registro com ninguém. O cibercriminoso pode fazer isso repetidamente e o usuário pode não prestar atenção às mensagens, considerando que é um erro.
Essas solicitações acabam por acionar o limite do WhatsApp para o número de vezes que os códigos podem ser enviados e também faz com que o código seja bloqueado após várias tentativas mal sucedidas, em ambos os casos por 12 horas. Durante esse tempo, o aplicativo continuará a funcionar normalmente, mas o invasor terá bloqueado a capacidade de enviar um novo código ou inseri-lo na tela de verificação. Portanto, o tempo de inatividade pode não afetar o usuário, a menos que ele efetue logout durante esse período.
O invasor pode, então, criar um novo endereço de e-mail e enviar uma mensagem para a equipe de suporte do WhatsApp com o assunto "telefone perdido/roubado", solicitando a desativação do número do usuário. A plataforma, aparentemente, irá verificar a "identidade" apenas enviando um e-mail automático solicitando o número de telefone do usuário; assim, o atacante se faz passar pela identidade do usuário legítimo.
Desta forma, o WhatsApp irá desativar a conta e, com o limite de tentativas de verificação ultrapassado, o usuário não poderá fazer login até 12 horas depois e o código de verificação precisa ser solicitado novamente.
Infelizmente, se o invasor não parar e decidir repetir esse processo três vezes consecutivas que aciona o bloqueio de 12 horas, o WhatsApp passará por uma falha e exibirá uma mensagem dizendo "tente novamente após -1 segundo". Os pesquisadores alertam que, se o invasor chegar a esse ponto, não haverá como o usuário recuperar a conta a menos que encontre alguém no WhatsApp disposto a ajudar.
Em declarações à revista Forbes, um porta-voz do WhatsApp disse que "fornecer um endereço de e-mail e duplo fator de autenticação ajudará nossa equipe de atendimento ao cliente a ajudar as pessoas caso encontrem esse problema. As circunstâncias identificadas por este investigador violariam nossos termos de serviço e encorajamos qualquer pessoa que precise de ajuda a enviar um e-mail para nossa equipe de suporte para que possamos investigar".
O problema chamou a atenção do especialista em segurança da ESET, Jake Moore, que recentemente mostrou como alguém pode assumir o controle de sua conta do WhatsApp apenas sabendo seu número de telefone. Moore advertiu que a nova falha deve ser levada a sério, especialmente porque pode afetar milhões de pessoas e é fácil de ser feita.
"Não há como optar por não ser descoberto no WhatsApp. Qualquer pessoa pode digitar um número de telefone para ver se há uma conta associada. Além disso, melhorar a privacidade ajudaria a proteger os usuários contra isso, além de forçar as pessoas a implementar um PIN de verificação em duas etapas", acrescentou Moore.