Vulnerabilidade no WhatsApp permite inclusão de membros indesejados em grupos

Pesquisadores realizaram engenharia reversa no WhatsApp, analisaram os protocolos criptográficos utilizados e validaram as garantias de segurança oferecidas pelo aplicativo. De forma geral, concluíram que o sistema funciona conforme o prometido e é seguro. No entanto, o estudo aponta uma limitação importante: o WhatsApp não adota mecanismos criptográficos para controlar a administração de grupos.

Isso significa que o servidor da plataforma tem a capacidade de adicionar novos membros a um grupo, sem a necessidade de validação por parte dos participantes. Na prática, qualquer conversa em grupo que não verifique ativamente quem foi adicionado pode ser comprometida.

Embora a probabilidade de exploração em conversas triviais seja mínima, os pesquisadores alertam que agentes estatais poderiam se aproveitar da falha para acessar grupos sensíveis, como aqueles que envolvem autoridades discutindo temas de segurança nacional.

A falha é possível porque, no processo padrão de adição de membros, a mensagem enviada ao servidor não é assinada por nenhum integrante atual do grupo. Com isso, qualquer entidade que tenha acesso à infraestrutura do WhatsApp — seja um administrador privilegiado ou um invasor — pode manipular a composição dos grupos. Como muitos grupos reúnem dezenas ou até centenas de participantes, a entrada de um novo membro pode facilmente passar despercebida.

Apesar dos obstáculos técnicos para que essa vulnerabilidade seja explorada, o simples fato de ela existir levanta preocupações em contextos onde a confidencialidade das mensagens é essencial.

Em resposta, o WhatsApp afirma que todos os usuários são notificados quando alguém entra em um grupo e que há a opção de ativar alertas de segurança para mudanças nos códigos de verificação dos contatos.