© Dado Ruvic / Reuters
Foi descoberta uma falha de segurança no WhatsApp que permite que alguém se infiltre nas suas conversas sem autorização e sem que o utilizador perceba
Cátia Leitão
Uma equipa de investigadores da Universidade Ruhr, de Bochum, na Alemanha, encontrou uma falha nas conversas de grupo da aplicação. A equipa descobriu um erro que permite que alguém entre numa conversa de grupo sem ser aceite pelo administrador da mesma e sem que qualquer um dos membros tenha conhecimento disso.
A equipa de criptógrafos publicou no passado dia 6 um artigo com estas descobertas, onde explica que qualquer pessoa que tenha acesso aos servidores da aplicação pode adicionar membros às conversas de grupo sem que os utilizadores sejam avisados. Supostamente, apenas o administrador de uma conversa pode adicionar, ou pelo menos aceitar, membros na sua conversa, no entanto, os servidores do WhatsApp funcionam como administradores de toda a aplicação. Isto significa que um funcionário da empresa, ou até um hacker, pode tornar-se administrador de uma das suas conversas e juntar membros ao grupo secretamente.
Quando um utilizador é adicionado a uma conversa de grupo no WhatsApp ele passa a ter acesso a todas as mensagens e ficheiros partilhados pelos membros a partir do momento em que entra na conversa, mas não consegue visualizar as mensagens mais antigas. Paul Rösler, um dos autores desta pesquisa, disse ao Wired que "a confidencialidade de um grupo é corrompida assim que um membro não desejado pode receber e ler todas as novas mensagens" e acrescenta ainda que com a existência de criptografia ponta a ponta "deveríamos estar protegidos contra a inclusão de novos membros. E se não o é, então a utilidade da encriptação é muito baixa".
A criptografia ponta-a-ponta começou a ser utilizada por esta aplicação no ano de 2016 e é um recurso de segurança utilizado pelos administradores do WhatsApp que torna uma mensagem impossível de ler quando esta é armazenada pelas duas "pontas", ou seja, por quem envia e por quem recebe, impedindo assim os funcionários de ler as mensagens enviadas pelos utilizadores. Na altura deste lançado, a empresa disse em comunicado que "a criptografia de ponta-a-ponta do WhatsApp está disponível quando o utilizador e as pessoas com quem conversa usam a versão mais recente da nossa aplicação. Muitas aplicações apenas criptografam mensagens entre o utilizador e a própria empresa, mas a criptografia de ponta a ponta do WhatsApp assegura que só o utilizador e a pessoa com que está a falar podem ler o que é enviado e ninguém mais, nem mesmo o WhatsApp". Esta descoberta levanta assim algumas críticas à empresa e leva os utilizadores a por em causa a confidencialidade da aplicação.
Alex Stamos, chefe de segurança do Facebook - dono do WhatsApp, disse no Twitter que esta falha não é eficaz visto que os membros de uma conversa recebem notificações quando outro utilizador é adicionado. "As notificações e múltiplas formas de verificar quem está no seu grupo impedem a 'escuta silenciosa'. O conteúdo das mensagens enviadas nos grupos do WhatsApp permanece protegido pela criptografia de ponta a ponta".
Cátia Leitão
Uma equipa de investigadores da Universidade Ruhr, de Bochum, na Alemanha, encontrou uma falha nas conversas de grupo da aplicação. A equipa descobriu um erro que permite que alguém entre numa conversa de grupo sem ser aceite pelo administrador da mesma e sem que qualquer um dos membros tenha conhecimento disso.
A equipa de criptógrafos publicou no passado dia 6 um artigo com estas descobertas, onde explica que qualquer pessoa que tenha acesso aos servidores da aplicação pode adicionar membros às conversas de grupo sem que os utilizadores sejam avisados. Supostamente, apenas o administrador de uma conversa pode adicionar, ou pelo menos aceitar, membros na sua conversa, no entanto, os servidores do WhatsApp funcionam como administradores de toda a aplicação. Isto significa que um funcionário da empresa, ou até um hacker, pode tornar-se administrador de uma das suas conversas e juntar membros ao grupo secretamente.
Quando um utilizador é adicionado a uma conversa de grupo no WhatsApp ele passa a ter acesso a todas as mensagens e ficheiros partilhados pelos membros a partir do momento em que entra na conversa, mas não consegue visualizar as mensagens mais antigas. Paul Rösler, um dos autores desta pesquisa, disse ao Wired que "a confidencialidade de um grupo é corrompida assim que um membro não desejado pode receber e ler todas as novas mensagens" e acrescenta ainda que com a existência de criptografia ponta a ponta "deveríamos estar protegidos contra a inclusão de novos membros. E se não o é, então a utilidade da encriptação é muito baixa".
A criptografia ponta-a-ponta começou a ser utilizada por esta aplicação no ano de 2016 e é um recurso de segurança utilizado pelos administradores do WhatsApp que torna uma mensagem impossível de ler quando esta é armazenada pelas duas "pontas", ou seja, por quem envia e por quem recebe, impedindo assim os funcionários de ler as mensagens enviadas pelos utilizadores. Na altura deste lançado, a empresa disse em comunicado que "a criptografia de ponta-a-ponta do WhatsApp está disponível quando o utilizador e as pessoas com quem conversa usam a versão mais recente da nossa aplicação. Muitas aplicações apenas criptografam mensagens entre o utilizador e a própria empresa, mas a criptografia de ponta a ponta do WhatsApp assegura que só o utilizador e a pessoa com que está a falar podem ler o que é enviado e ninguém mais, nem mesmo o WhatsApp". Esta descoberta levanta assim algumas críticas à empresa e leva os utilizadores a por em causa a confidencialidade da aplicação.
Alex Stamos, chefe de segurança do Facebook - dono do WhatsApp, disse no Twitter que esta falha não é eficaz visto que os membros de uma conversa recebem notificações quando outro utilizador é adicionado. "As notificações e múltiplas formas de verificar quem está no seu grupo impedem a 'escuta silenciosa'. O conteúdo das mensagens enviadas nos grupos do WhatsApp permanece protegido pela criptografia de ponta a ponta".
Fonte: VISAO PT
Nenhum comentário:
Postar um comentário