O WhatsApp pode expor o sistema operacional que você usa para executá-lo – o que pode expor você a criminosos

Uma análise do software de mensagens WhatsApp da Meta revela que ele pode expor qual sistema operacional um usuário está executando e informações de configuração do dispositivo – incluindo o número de dispositivos vinculados.

Essa análise vem de pesquisadores de segurança da fabricante de carteiras de criptomoedas Zengo, que anteriormente encontrou uma falha de segurança no recurso Visualizar uma vez do aplicativo – e agora afirmam que encontraram outra falha.

O problema decorre de como o aplicativo gerencia sua configuração de vários dispositivos e dos metadados que ele transmite durante a comunicação.

“Descobrimos que diferentes implementações do WhatsApp geram esse ID de mensagem de uma maneira diferente, o que nos permite tirar impressões digitais para saber se vem do Windows”, disse o cofundador da Zengo, Tal Be'ery. O Registro.

Em um explicadorBe'ery detalhou como cada dispositivo vinculado a uma conta do WhatsApp – seja web, macOS, Android, iPhone ou Windows – recebe uma chave de identidade exclusiva e persistente.

As qualidades dessas chaves variam para cada sistema operacional em que o WhatsApp é executado: um ID de 32 caracteres é criado para dispositivos Android, os iPhones usam um prefixo de 20 caracteres que é precedido de quatro caracteres adicionais, enquanto o aplicativo de desktop WhatsApp para Windows usa um prefixo de 18 caracteres. ID do personagem.

As diferentes qualidades de IDs para diferentes plataformas, argumenta Be'ery, significam que alguém que tente espalhar malware através do WhatsApp poderia identificar o sistema operacional dos usuários e direcioná-los de acordo.

“Não é o fim do mundo”, garantiu. “Mas quando você envia malware para um dispositivo, é muito, muito importante saber em qual sistema operacional ele é executado, porque você tem vulnerabilidades e explorações diferentes.”

Um invasor inteligente poderia até examinar todos os IDs associados a um usuário, descobrir todos os sistemas operacionais nos quais ele acessa o WhatsApp e escolher o mais vulnerável para atacar, sugeriu Be'ery.

Ele observou que a Meta foi alertada sobre o problema e reconheceu a descoberta em 17 de setembro. Mas, desde então, a equipe de segurança da Zengo não ouviu nada em resposta. “É bastante fácil de compreender”, explicou ele – acrescentando que, na ausência de qualquer resposta, Zengo estava tornando o assunto público.

O WhatsApp não fez comentários até o momento da publicação. ®