Grupos públicos do WhatsApp podem expor informações dos usuários

Os grupos públicos do WhatsApp permitem reunir até 256 usuários no mesmo chat sem precisar passar pelo filtro de um administrador. O criador do grupo pode adicionar novos usuários através do seu telefone ou criar um link que permite a entrada de qualquer um que o tenha. 

No WhatsApp, existem muitos grupos públicos que podem ser facilmente encontrados através de uma simples pesquisa na web. Embora não tenha sido criado um link de convite em todos os grupos que fizeram parte da pesquisa, naqueles em que o link foi gerado, qualquer usuário que acessasse o link poderia entrar no grupo sem precisar ser identificado.

Muitos usuários não estão cientes do alcance dessa funcionalidade do aplicativo, mas, na realidade, pessoas desconhecidas podem coletar mensagens desses grupos, incluindo o material que compartilham e também os números de telefone. 

O mais importante é que não é uma vulnerabilidade, mas um erro de projeto, já que o aplicativo foi projetado para permitir essa opção. Recentemente, dois pesquisadores que trabalharam com o objetivo de demonstrar as possibilidades dos grupos públicos do WhatsApp de coletar informações para pesquisas na área de ciências sociais, foram aqueles que evidenciaram essa situação.

Os pesquisadores identificaram aproximadamente 2.000 grupos públicos através de uma pesquisa na web e usando uma ferramenta de automação como o Selenium.

Kiran Garimella, da Escola Politécnica Federal de Lausanne, na Suíça, e Gareth Tyson, da Universidade Queen Mary, no Reino Unido, trabalharam em um projeto de um paper durante seis meses coletando informações de 178 grupos públicos do WhatsApp, em que cada grupo teve uma média de 143 participantes, o que representou 454.000 mensagens de mais de 45.000 usuários. O documento detalha como eles conseguiram coletar todas as informações dos grupos, bem como os números de telefone, fotos, vídeos e links que foram compartilhados. Eles também mostraram como qualquer pessoa, sem precisar ser especialista em tecnologia, pode obter informações valiosas de um grupo do WhatsApp usando apenas um smartphone antigo que executa determinados scripts e outros aplicativos adicionais.

Embora só tenham participado de 178 grupos públicos do WhatsApp, os pesquisadores identificaram aproximadamente 2.000 grupos públicos através de uma pesquisa na web e usando uma ferramenta de automação como o Selenium. Já dentro dos grupos, seus smartphones começaram a receber longas cadeias de mensagens que o WhatsApp armazenava no dispositivo. Uma vez estavam com bastante informações compartilhadas nos grupos, para extrair os dados que foram coletados periodicamente e desde que foram criptografados, eles tiveram que usar a chave de criptografia que é armazenado na memória RAM do próprio dispositivo móvel usando uma técnica desenvolvida pelos pesquisadores indianos L.P. Gudipaty e K.Y. Jhala.

Embora o objetivo inicial dos pesquisadores fosse demonstrar como o WhatsApp poderia ser usado para pesquisa no campo das ciências sociais, seu trabalho demonstrou como é fácil para criminosos, empresas ou governos tirar proveito do aplicativo de mensagens sem a necessidade de um contrato ou custos.

Casos recentes sobre vulnerabilidades em grupos do WhatsApp

Em janeiro deste ano, um artigo publicado pela Wired relatou uma pesquisa realizada por uma equipe da Universidade de Ruhr, na Alemanha, na qual foi detectada uma vulnerabilidade que permitia a infiltração de qualquer grupo do WhatsApp. A falha identificada estava relacionada ao sistema de convite a grupos, uma vez que se suponhe que somente o administrador pode adicionar novos membros. No entanto, como o processo de convite não exige que a pessoa se identifique, qualquer usuário que consiga acessar os servidores WhatsApp poderá receber permissões que permitirão que ele acesse o grupo e/ou adicione outros usuários sem o consentimento do administrador.

A realidade indica que é bastante difícil que alguém possa aproveitar essa vulnerabilidade devido à complexidade de acessar um servidor do aplicativo de mensagens instantâneas (a menos que seja um cibercriminoso com muito conhecimento ou um funcionário do Facebook ou WhatsApp). No entanto, o estudo destaca que quando o aplicativo de mensagens decidiu investir nas comunicações em termos de privacidade e adicionou a criptografia ponto a ponto em todas as conversas, a empresa esqueceu de cuidar desse aspecto. E, embora pareça difícil de acontecer, no caso de alguém poder fazê-lo, falcilmente poderá violar a confidencialidade dos grupos.

Nesse sentido, o pesquisador Paul Rösler destacou que, se há criptografia ponto a ponto para ambos os grupos e para as comunicações de ambas as partes, também deveria haver proteção contra a adição de novos membros.