Na noite de segunda-feira, dia 13 de maio, o WhatsApp reportou a descoberta de uma vulnerabilidade de dia zero que permitia que hackers instalassem um spyware no telefone de qualquer usuário apenas ligando para a vítima por meio do aplicativo. O anúncio veio acompanhado de uma atualização que corrigiu a vulnerabilidade, que deixou 1,5 bilhões de usuários em todo o mundo com a responsabilidade de instalá-lo para ficarem seguros. Para a maioria dos especialistas em Segurança da Informação e empresas do setor, o tempo de resposta é fundamental para corrigir as falhas e a comunicação deve ser imediata e transparente.
“Esta é uma das primeiras vezes que uma vulnerabilidade de segurança fica tão próxima da realidade dos usuários finais, colocando em risco a segurança dos dispositivos por meio de um dos aplicativos mais usados em todo o mundo. Mas, segundo as últimas informações relacionadas ao ataque, o incidente parece ter focado em indivíduos específicos, em vez de uma tentativa indiscriminada de espionar o maior número possível de usuários do WhatsApp”, comenta Marcos Tabajara, Country Manager da Sophos no Brasil. Nesse sentido, a Sophos sugere que os usuários do WhatsApp atualizem o aplicativo e, se acharem que foram alvo, devem fazer um factory reset (restauração de fábrica) do dispositivo.
“Não é possível saber desde quando existe esta vulnerabilidade. Porém, a instalação do Patch é crucial para proteção do usuário”, diz Alex Amorim, CISO e DPO. Amorim explica que é normal haver vulnerabilidades em aplicações e sistemas. Mas a grande diferença é o tempo de resposta da empresa soltar um Patch e do usuário instalar.
“A vulnerabilidade no WhatsApp acaba sendo mais um caso de privacidade relacionando indiretamente o facebook (por ser dono do WhatsApp)”, comenta Amorim. “Existe a grande preocupação de grupos criminoso tenham acesso ao malware ou faça a engenharia reversa do fix e consigam criar algum exploit para explorá-la. Seria uma exploração assertiva, pois muitos dispositivos Android e IOS antigos têm limitações em relação a atualizações de segurança”, observa o DPO.
Segundo o professor João Carlos Lopes Fernandes, do curso de Engenharia de Computação do Instituto Mauá de Tecnologia, em qualquer situação de uso de aplicativos, as únicas condições dos usuários se protegerem é mantendo sempre o Sistema Operacional do aparelho e os seus aplicativos atualizados.
“Quando o fabricante do aparelho disponibiliza uma nova atualização, é porque identificou a necessidade de alguma melhoria, seja no modo operacional ou na segurança. O mesmo servem para os aplicativos, porque todos fazem a comunicação dos dados”, aponta Fernandes.
“Neste caso específico, foi o próprio WhatsApp que descobriu o que estava acontecendo e identificou a possibilidade de invasão do sistema, para vigiar remotamente os celulares-alvo por meio da câmera e do microfone do celular. O vírus usava uma vulnerabilidade na função de chamada de voz para conseguir hackear e invadir o aparelho. Para resolver o problema, uma atualização foi divulgada e, para se prevenir, o WhatsApp que possui 1,5 bilhão de usuários, solicitou que todos atualizassem o aplicativo como garantia. A atualização deste tipo de APP costuma acontecer de duas formas: automática ou manua”, explica Fernandes.
A Security Report entrou em contato com a assessoria de imprensa do WhatsApp no Brasil e segundo nota oficial, o posicionamento da companhia é: “O WhatsApp incentiva as pessoas a atualizarem o nosso aplicativo para a versão mais recente, assim como manter o sistema operacional dos dispositivos atualizados, a fim de proteger contra possíveis ataques destinados a comprometer as informações armazenadas em dispositivos móveis. Estamos trabalhando constantemente ao lado de parceiros da indústria para fornecer os aprimoramentos de segurança mais recentes para ajudar a proteger nossos usuários.”-
Medidas
O WhatsApp informou o principal órgão regulador da empresa na União Europeia, a Comissão de Proteção de Dados da Irlanda (DPC), sobre uma “séria vulnerabilidade de segurança” em sua plataforma. O aplicativo é usado por 1,5 bilhão de pessoas por mês. “A DPC entende que a vulnerabilidade pode ter permitido um agente malicioso instalar software não autorizado e obter acesso a dados pessoais em dispositivos que tenham o WhatsApp instalado”, disse o regulador em um comunicado.
No início deste mês, o WhatsApp identificou e corrigiu prontamente uma vulnerabilidade que poderia permitir a um invasor inserir e executar código em dispositivos móveis. A empresa informou que:
No final da semana passada,foram feitas alterações em nossa infraestrutura para impedir a capacidade desse ataque acontecer.
Além de toda a cautela, o WhatsApp está incentivando os usuários a atualizar o aplicativo e, como sempre, manter o sistema operacional dos dispositivos atualizados, para receber as mais versões mais recentes de proteção e segurança.
Ainda, segundo informações do WhatsApp:
“Acreditamos que um número selecionado de usuários foi alvo dessa vulnerabilidade por um agente cibernético avançado. O ataque tem todas as características de uma empresa privada que supostamente trabalha com os governos para entregar spyware que assume as funções dos sistemas operacionais de telefonia móvel. Estamos profundamente preocupados com o abuso de tais capacidades. Informamos várias organizações de direitos humanos para compartilhar as informações que podemos e trabalhar com elas para notificar a sociedade civil”.
Para fornecer informações adicionais à comunidade de segurança, o WhatsApp registrou um aviso CVE indicando que essa exploração se aproveita das chamadas de voz do WhatsApp.
“Também fornecemos informações para autoridades nos EUA para ajudá-los a conduzir uma investigação”.
Desdobramento
“O WhatsApp ainda está investigando se algum dado de usuário do WhatsApp da UE foi afetado como resultado desse incidente”, disse a DPC, acrescentando que o WhatsApp informou sobre o incidente na segunda-feira.
Mais cedo, o Financial Times (FT) informou que uma vulnerabilidade no WhatsApp permitia que os invasores instalassem spyware nos telefones, ligando para alvos usando a função de chamada telefônica do aplicativo.
O Financial Times afirmou que o spyware foi desenvolvido pela empresa de vigilância cibernética israelense NSO Group e afeta tanto aparelhos Android quanto o iPhone. O FT disse que o WhatsApp ainda não poderia dar uma estimativa para o número de aparelhos que foram afetados.
Questionado sobre o relatório, a NSO disse que sua tecnologia é licenciada para agências governamentais autorizadas “com o único propósito de combater o crime e o terror”, e que não opera o sistema, tendo um processo rigoroso de licenciamento e verificação.
“Investigamos quaisquer alegações confiáveis de uso indevido e, se necessário, tomamos providências, incluindo o fechamento do sistema. Sob nenhuma circunstância, a NSO estaria envolvida na operação ou identificação de alvos de sua tecnologia, que é exclusivamente operada por agências de inteligência e policiais”, disse a empresa.
O WhatsApp informou o problema ao Departamento de Justiça dos Estados Unidos na semana passada, disse o FT.
* Com informações Agência Reuters