Na última quarta-feira, começou a correr pela internet um vídeo um pouco chocante que mostra o quão fácil é para um hacker assumir o controle de uma conta no WhatsApp e começar a se passar pela vítima. É mais um lembrete da falha de segurança mais problemática que temos nos smartphones de hoje em dia, que está totalmente fora do controle da Apple e do Google para resolver.

O grande problema reside no sistema SS7 (Sistema de Sinalização 7), um protocolo usado pela maioria das operadoras de telefonia no mundo desde 1975, que oferece brechas para interceptação de chamadas, mensagens, rastreamento da localização do celular e tudo mais. A falha já foi demonstrada recentemente em um programa de TV americano, e causou rebuliço (mas o assunto já foi esquecido, porque é assim que as coisas funcionam).

O SS7 é usado para controlar chamadas telefônicas, tanto fixas quanto móveis, permitindo que as operadoras troquem informação necessária para efetuar as chamadas entre si e também para garantir que o cliente seja cobrado corretamente, além de permitir o uso de roaming internacional. São ferramentas importantes e que tornam mais fáceis as vidas das empresas e dos consumidores.

O problema é o quão fácil o SS7 é hackeado. As suas vulnerabilidades são amplamente conhecidas pelo cibercrime, que pode muito bem usá-las para fins maliciosos. O vídeo do WhatsApp mostra como foi simples, com o software correto, desviar uma chamada telefônica e roubar um código de verificação que permitiu o acesso à conta de uma vítima.

A partir daí, já é possível imaginar cenários muito mais catastróficos. Quantos bancos hoje não enviam códigos de verificação para seus clientes por SMS? Isso poderia dar total acesso de uma conta bancária a um criminoso, e os estragos podem ser enormes, driblando a segurança oferecida pela autenticação em duas etapas.

Se a vulnerabilidade está na própria rede telefônica, não há muito que as empresas de telefonia celular podem fazer. Uma possibilidade para evitar esse tipo de ataque espião seria a criptografia de mensagens de texto e ligações telefônicas, mas não parece que isso vai acontecer tão cedo.