Segundo relatos, o recurso “Visualizar uma vez” do WhatsApp não é seguro por causa de uma falha. Confira os detalhes.
Uma falha de privacidade no WhatsApp está sendo explorada por invasores para ignorar o recurso “Visualizar uma vez” do aplicativo e visualizar as mensagens novamente.
Recurso “Visualizar uma vez” do WhatsApp não é seguro
A Meta diz que o recurso “Visualizar uma vez” do WhatsApp (introduzido há três anos) permite que os usuários compartilhem fotos, vídeos e mensagens de voz de forma privada, visto que o destinatário não deve ser capaz de encaminhar, compartilhar, copiar ou capturar imagens de suas mensagens porque elas desaparecerão automaticamente dos chats após serem abertas uma vez.
“Depois de enviar uma foto, vídeo ou mensagem de voz para visualização uma vez, você não poderá visualizá-la novamente”, explica a empresa em seu site de suporte.
“Quaisquer fotos ou vídeos que você enviar não serão salvos nas Fotos ou na Galeria do destinatário. O destinatário também não pode tirar uma captura de tela de nada que você enviar usando a visualização uma vez.”
No entanto, “Visualizar uma vez” só bloqueará os usuários do WhatsApp de capturar imagens do que está sendo enviado em dispositivos móveis porque as plataformas de desktop e web não suportam o bloqueio de capturas de tela.
Além disso, a Zengo X Research Team descobriu que a Meta implementou esse recurso no que os pesquisadores descreveram como uma “maneira negligente”, permitindo que invasores salvassem e compartilhassem facilmente cópias de mensagens “Visualizar uma vez”.
“Nós divulgamos responsavelmente nossas descobertas para a Meta, mas quando percebemos que o problema já estava sendo explorado, decidimos torná-lo público para proteger a privacidade dos usuários do WhatsApp”, disse o CTO da Zengo, Tal Be’ery.
Como os pesquisadores de segurança da Zengo descobriram, o recurso “Visualizar uma vez” é usado para enviar mensagens de mídia criptografadas para todos os dispositivos do destinatário, mensagens que são quase idênticas a uma normal, mas incluem uma URL para os dados criptografados hospedados no servidor web do WhatsApp (“blob store”) e a chave para descriptografá-los.
Além disso, as mensagens “View once” definem um sinalizador “View once” como “true”.
Be’ery explicou que o recurso “View once” do WhatsApp permite que os usuários enviem mensagens que devem ser visualizadas apenas uma vez.
Ainda assim, as mensagens são enviadas para todos os dispositivos do destinatário, incluindo aqueles que não têm permissão para exibi-las. Além disso, as mensagens não são imediatamente excluídas dos servidores do WhatsApp após o download.
Isso torna impossível limitar a exposição da mídia a ambientes e plataformas controlados, especialmente porque algumas versões das mensagens “Ver uma vez” também contêm visualizações de mídia de baixa qualidade que podem ser visualizadas sem download.
Além disso, as mensagens “Ver uma vez” funcionam como mensagens normais, mas com um sinalizador “Ver uma vez”.
No entanto, os invasores podem ignorar esse recurso de privacidade definindo esse sinalizador “ver uma vez” como falso, permitindo que a mensagem seja baixada, encaminhada e compartilhada.
“A privacidade é crítica para mensagens instantâneas. O WhatsApp reconheceu isso ao oferecer suporte à criptografia de ponta a ponta (E2EE) para as conversas de seus usuários por padrão”, concluiu Be’ery.
“No entanto, a única coisa pior do que nenhuma privacidade é uma falsa sensação de privacidade na qual os usuários são levados a acreditar que algumas formas de comunicação são privadas quando, na verdade, não são. Atualmente, o Visualizar uma vez do WhatsApp é uma forma contundente de falsa privacidade e deve ser completamente corrigido ou abandonado.”
Embora os pesquisadores da Zengo sejam os primeiros a relatar o problema ao Meta e publicar um relatório detalhando esse problema de privacidade, a falha tem sido abusada para salvar mensagens “Visualizar uma vez” por pelo menos um ano, com aqueles que a exploram até mesmo criando complementos de navegador para agilizar todo o processo.
Existem pelo menos duas extensões do Google Chrome, uma lançada em 2023, que podem desabilitar o sinalizador Visualizar uma vez, permitindo que o recurso seja ignorado.
A Meta respondeu a um e-mail do site BleepingComputer sobre o problema, dizendo que eles estão atualmente implementando mudanças no recurso Visualizar uma vez.
Embora uma correção esteja chegando ao WhatsApp Web, não está claro se a falha de privacidade ainda pode ser explorada usando aplicativos personalizados do WhatsApp.
Um porta-voz do WhatsApp disse que:
“Nosso programa de recompensa por bugs é uma maneira importante de receber feedback valioso de pesquisadores externos e já estamos no processo de implementar atualizações para visualizar uma vez na web. Continuamos a encorajar os usuários a enviar mensagens de visualização apenas uma vez para pessoas que eles conhecem e confiam.”