Há dois anos o WhatsApp incluiu em seu serviço de mensagem a criptografia de ponta-a-ponta, prometendo manter seguras as conversas dos seus usuários. No entanto, conforme relata o site Wired, parece que o sistema de segurando do aplicativo possui falhas que permitem a espionagem das conversas.

Um grupo de pesquisadores da Universidade Ruhr apresentou, nesta quarta-feira, 10, durante uma conferência de segurança do Real World Crypto uma série de falhas em aplicativos de mensagens que dizem ter criptografia, entre eles o WhatsApp, Signal e Threema.

O estudo mostra que, apesar de muitos aplicativos apresentarem falhas relativamente inofensivas, foram encontradas brechas graves no WhatsApp. Uma pessoa que controle os servidores do WhatsApp, como funcionários ou membros do governo, poderia adicionar uma pessoa em um grupo de conversa, de forma privada, sem a autorização do administrador – permitindo assim o acesso a todas as mensagens enviadas.

Apesar de se tratar de uma brecha quase impossível de ser explorada pelo cibercrime, já que depende do controle dos servidores do aplicativo, a vulnerabilidade afeta uma relação de confiança criada com a introdução da criptografia de ponta-a-ponta. Com a tecnologia, o WhatsApp prometeu que seria impossível para a empresa, para autoridades ou para hackers interceptar mensagens que circulam pelo app. No entanto, um funcionário engraçadinho poderia entrar em algum grupo sem autorização e ler o que é publicado, e as autoridades também poderiam emitir um mandado que obrigue a empresa a dar acesso a um grupo, permitindo descobrir tudo que se conversa naquele espaço.

Os pesquisadores afirmam que a brecha aproveita um erro simples: somente o administrador de um grupo pode convidar novos membros, mas o WhatsApp não usa nenhum mecanismo de autenticação para esse convite. Isso significa que é possível adicionar novos membros a partir dos servidores do Whatsapp, sem precisar interagir com o administrador.

Um porta-voz do WhatsApp confirmou a descoberta, mas diz que a empresa não pretende lançar uma correção. A justificativa é justamente a dificuldade de explorar a brecha, especialmente porque quando alguém entra em um grupo, o aplicativo exibe um alerta de que há um novo participante na conversa. De fato, em grupos pequenos, como o da sua família, dificilmente um invasor passaria despercebido; no entanto, se pensarmos em grupos maiores, ficaria praticamente impossível perceber que alguém entrou sem autorização.