Falhas de segurança no WhatsApp podem fazer com que o usuário tenha sua conta bloqueada no serviço de mensagens instantâneas de uma forma surpreendentemente simples, apenas por meio de seu número de celular.
De acordo com a revista “Forbes”, os especialistas em cibersegurança Luís Márquez Carpintero e Ernesto Canales Pereña descobriram que, com o contato telefônico de uma vítima em mãos, basta ao criminoso baixar o aplicativo do WhatsApp e inserir esse número para ativar o serviço em seu dispositivo. Apesar de o sistema de verificação em duas etapas da plataforma solicitar também a inserção de um código enviado por SMS para a efetivação do login, sucessivas tentativas mal-sucedidas do invasor em um curto intervalo de tempo serão suficientes para que o WhatsApp bloqueie automaticamente o acesso à conta por 12 horas, afetando o uso por seu verdadeiro proprietário.
Outra vulnerabilidade identificada pelos especialistas possibilita que o golpe seja ainda pior, já que o criminoso pode, em seguida, solicitar ao suporte técnico do serviço, por meio de qualquer endereço de e-mail, a desativação da conta vinculada àquele mesmo número, alegando, por exemplo, que seu smartphone foi roubado ou perdido. Novamente por resposta automática, sem qualquer comprovação de propriedade, o WhatsApp então atenderá à solicitação.
Ao tentar revalidar o registro em seu próprio celular, a vítima perceberá que está impedida de receber novos códigos de verificação por SMS devido ao bloqueio de 12 horas inicialmente provocado pelo invasor, que pode repetir o processo para estender ainda mais esse período. Carpintero e Pereña relataram que, após o terceiro ciclo de 12 horas de bloqueio forçado pelo criminoso, o WhatsApp apresentará falhas e a vítima só poderá reaver sua conta buscando ajuda do suporte do aplicativo.
Em resposta aos problemas encontrados, a plataforma destacou a importância de os usuários não apenas ativarem o sistema de verificação em duas etapas, mas associarem um endereço de e-mail específico à sua conta, para facilitar a recuperação desta caso sejam alvo de uma ação do tipo. A empresa não informou se pretende corrigir tais vulnerabilidades.