Falha no WhatsApp deixa invasores descobrirem local do usuário

Pesquisadores da Universidade de New Haven descobriram uma nova brecha no WhatsApp, pela qual invasores conseguem descobrir facilmente a localização exata de uma vítima. A falha aparece no sistema de compartilhamento de posição do aplicativo, que se comunica com o Google Maps sem proteger o tráfego de dados.

Segundo os especialistas, o app “chama” o serviço do Google no momento em que o usuário tenta enviar a posição a um contato. A ideia é solicitar ao Maps uma imagem para ilustrar a localização da pessoa – e para consegui-la, o programa envia todos os dados aos servidores do sistema de mapas para receber a ilustração.

O problema é que essa comunicação e a transferência de informações são feitas por HTTP, e não HTTPS. Assim, tudo fica desprotegido no meio do caminho, permitindo que um invasor que esteja monitorando o tráfego de uma rede Wi-Fi, por exemplo, consiga obter todos esses dados facilmente. E como ressalta o blog NakedSecurity, o criminoso nem precisaria utilizar o WhatsApp para isso.

Os pesquisadores ilustraram o processo em um vídeo, que você pode conferir abaixo. No exemplo, o programa usado para interceptar os dados é o DataMiner, e ambos – invasor e vítima – estão próximos. Mas em uma rede pública, que abrangeria uma área maior, as possibilidades usando o mesmo software aumentariam.

[youtube]https://www.youtube.com/watch?v=3L8uh0WQ3MU[/youtube]

Histórico – Mesmo demonstrando preocupação com a privacidade dos usuários, o WhatsApp tem falhado em alguns pontos – tanto que essa brecha não é a primeira encontrada no aplicativo. A mais recente (e grave), por exemplo, permitia que outros apps acessassem os históricos de conversas armazenados em um cartão SD. Os arquivos ficavam criptografados, mas por uma chave que não era exatamente segura.

A empresa tentou acalmar os ânimos dos usuários no período diminuindo a importância da brecha, mas os argumentos não foram os melhores. Nesse novo caso, ao menos, a vulnerabilidade já deverá ser corrigida na próxima atualização, segundo informaram os pesquisadores. Enquanto isso, o melhor a se fazer é evitar compartilhar a localização pelo app.

Fonte: InfoAbril

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário