Pesquisadores da Universidade de New Haven descobriram uma nova brecha no WhatsApp, pela qual invasores conseguem descobrir facilmente a localização exata de uma vítima. A falha aparece no sistema de compartilhamento de posição do aplicativo, que se comunica com o Google Maps sem proteger o tráfego de dados, revelou a revista Exame.
Segundo os especialistas, o app “chama” o serviço do Google no momento em que o usuário tenta enviar a posição a um contato. A ideia é solicitar ao Maps uma imagem para ilustrar a localização da pessoa – e para consegui-la, o programa envia todos os dados aos servidores do sistema de mapas para receber a ilustração.
O problema é que essa comunicação e a transferência de informações são feitas por HTTP, e não HTTPS. Assim, tudo fica desprotegido no meio do caminho, permitindo que um invasor que esteja monitorando o tráfego de uma rede Wi-Fi, por exemplo, consiga obter todos esses dados facilmente. E como ressalta o blog NakedSecurity, o criminoso nem precisaria utilizar o WhatsApp para isso.
Os pesquisadores ilustraram o processo em um vídeo, que você pode conferir abaixo. No exemplo, o programa usado para interceptar os dados é o DataMiner, e ambos – invasor e vítima – estão próximos. Mas em uma rede pública, que abrangeria uma área maior, as possibilidades usando o mesmo software aumentariam.
Histórico – Mesmo demonstrando preocupação com a privacidade dos usuários, o WhatsApp tem falhado em alguns pontos – tanto que essa brecha não é a primeira encontrada no aplicativo. A mais recente (e grave), por exemplo, permitia que outros apps acessassem os históricos de conversas armazenados em um cartão SD. Os arquivos ficavam criptografados, mas por uma chave que não era exatamente segura – entenda melhor o caso aqui.
A empresa tentou acalmar os ânimos dos usuários no período diminuindo a importância da brecha, mas os argumentos não foram os melhores. Nesse novo caso, ao menos, a vulnerabilidade já deverá ser corrigida na próxima atualização, segundo informaram os pesquisadores. Enquanto isso, o melhor a se fazer é evitar compartilhar a localização pelo app.