Em setembro de 2012, especialistas revelaram mais um problema grave no aplicativo WhatsApp, usado em celulares para o envio de mensagens instantâneas, parecidas com SMS, pela internet. O software já teve problemas com privacidade e recentemente aplicou melhorias na segurança, mas agora se sabe que a maneira que o WhatsApp autentica um celular pode ser facilmente duplicada, permitindo, em alguns casos, que qualquer pessoa em uma rede Wi-Fi, por exemplo, leia as mensagens WhatsApp do utilizador.

O WhatsApp não exige que o utilizador cadastre uma senha e um nome de usuário para entrar na rede, tornando o aplicativo bastante parecido com softwares de SMS. Nos bastidores, no entanto, o WhatsApp cadastra um nome de usuário e uma senha. O nome de usuário é apenas o número de telefone. A senha é baseada em números identificadores do celular: o IMEI, no caso de celulares com Android, e o endereço MAC (Media Access Control), no caso do iPhone.

Nenhum identificador aleatório é utilizado junto dessas informações – algo que seria fácil para o WhatsApp cadastrar. Ou seja, tendo o IMEI ou endereço MAC, junto com o número de telefone é possível entrar na conta WhatsApp da vítima, ler as mensagens que ela recebe e, inclusive, enviar mensagens em nome da vítima.

Precisa descobrir pistas?

Como descobrir se o seu parceiro está te traindo.

O número do IMEI (International Mobile Equipment Identity – Identidade Internacional de Equipamento Móvel) pode ser lido por qualquer aplicativo instalado pelo celular. Ele também normalmente está escrito em um adesivo localizado abaixo da bateria e pode ser obtido digitando-se *#06# no celular.

No caso do iPhone, a questão é ainda mais preocupante. O WhatsApp utiliza o endereço MAC – um número associado à placa de rede sem fio do celular. Esse número é publicado toda vez que o celular se conecta a uma rede sem fio: estando conectado, qualquer sistema na mesma rede sem fio pode obter o número MAC.

Não há nenhuma dificuldade para conseguir o número do telefone: o WhatsApp envia o número de telefone junto com cada mensagem, desprotegido. Na prática, alguém que acessa a mesma rede Wi-Fi que você pode ler suas mensagens do WhatsApp e enviar mensagens como se fosse você – se você estiver usando um iPhone.

No caso do Android, será preciso acesso físico ao celular ou convencer você a instalar um app. Apesar de o Android isolar os aplicativos, não permitindo que um app interferia no funcionamento de outro, WhatsApp não está protegido, porque utiliza duas informações disponíveis para qualquer app – o número de telefone e o IMEI.

Os desenvolvedores do WhatsApp já fizeram ajustes no modo que o app autentica os celulares, mas o problema ainda existe.
Especialistas da publicação alemã “heise Security” conseguiram com sucesso utilizar a brecha para ler mensagens destinadas a celulares. Como o WhatsApp não fornece informações sobre o protocolo de comunicação, a publicação utilizou a WhatsAPI, um código não oficial, para acessar as contas.

Leia  mais.