Pesquisadores descobrem falha no Whatsapp que permite que criminosos roubem a conta usando apenas o número da vítima

Uma falha considerada simples pode fazer com que qualquer pessoa perca sua conta do WhatsApp de forma definitiva, mesmo se houver ativado a verificação em duas etapas. Para isso acontecer, um invasor só precisa ter o número do celular do usuário e comunicar ao mensageiro que aquela conta foi roubada. Caso o criminoso persista na fraude após a realização de alguns processos, ele pode fazer com que o usuário tenha sua conta deletada pelo app, mesmo sem qualquer contato com a vítima.

A vulnerabilidade foi descoberta pelos pesquisadores de cibersegurança Luis Márquez Carpintero e Ernesto Canales Pereña, e informada pela Forbes no último sábado (10). Segundo os pesquisadores, o processo de segurança do WhatsApp apresenta falhas que permitem roubar uma conta apenas com o número da vítima.

Eles afirmam que a primeira vulnerabilidade é a possibilidade de tentar fazer login com qualquer número de telefone do mundo, mesmo que o usuário não seja o proprietário da linha ou que, sequer, esteja próximo do telefone citado. Mesmo que os bandidos não tenham acesso ao código de segurança de seis dígitos para ativar a conta, os pesquisadores consideraram problemática essa possibilidade.

Além disso, outra fraqueza do app seria a efetivação do bloqueio da conta a partir de uma solicitação feita por um e-mail aleatório, sem a confirmação de propriedade do número. Em nota a Forbes, o Whatsapp informou que que a prática fere os termos de uso do aplicativo e que o cadastro do e-mail solicitado durante a ativação da verificação de duas etapas é fundamental para que o verdadeiro proprietário da conta seja identificado pela companhia antes do bloqueio. Contudo, o aplicativo não informou se planeja consertar a vulnerabilidade.