WhatsApp: Falha de Segurança no Compartilhamento de Arquivos!

Recentemente na Alemanha, pesquisadores da Ruhr University Bochum, descobriram uma forma de quebrar a privacidade em aplicativos de mensagens, como o WhatsApp. Com o acesso ao servidor é possível adicionar contatos em grupos sem a permissão do administrador. Desta forma, a pessoa infiltrada conseguiria ter acesso às conversas.

A brecha levanta o debate a respeito da criptografia usada no aplicativo. Desde quando a tecnologia ponta a ponta passou a ser usada no WhatsApp em 2016, a empresa diz que nem ela própria teria acesso às mensagens. No entanto, um funcionário com acesso aos servidores da empresa poderia usar a falha para adicionar um membro e ler mensagens trocadas em um grupo.

Fonte: https://www.techtudo.com.br/noticias/2018/01/falha-no-whatsapp-pode-permitir-que-estranhos-leiam-men...

Enquanto isso, aqui no Brasil... Testando o aplicativo WhatsApp Web, apenas com conhecimento básico em Hyper Text Markup Language (HTML) pude descobrir uma falha no compartilhamento de arquivos. Isso, foi possível através da URI – Uniform Resource Identifier.

Antes de mais nada, gostaria de informar, que nenhuma informação de terceiro foi vazada, pois, o único usuário que fez parte do teste foi eu mesmo. Já que as informações são de minha pessoa, e a foto compartilhada é liberada para divulgação gratuitamente, então, está é a pura manifestação do pensamento, e a livre expressão de atividade intelectual, portanto, garantido por lei.

O teste foi realizado em 23/04/2018, utilizando dois aparelhos de celulares com números diferentes, onde, eu enviei uma foto para mim mesmo.

Foto: Nerivill1 Oceano Mulheres Mar Verão Praia Mulher.

Para testar o aplicativo, utilizei uma foto Grátis para uso comercial, na verdade, uma imagem onde atribuição não é requerida pelo autor. CC0 Creative Commons.

Acessando o WhatsApp pela Web...

Ao acessar a página WhatsApp Web, no seguinte link: https://web.whatsapp.com/ e feito a leitura de QRCODE.

Enviando a foto...

Selecionei a foto acima e nem cheguei a envia-la, e WhatsApp já gerou a pré-visualização da mesma, e com isso, também o endereço (URL) do arquivo.

Acessando a foto pelo URL – Uniform Resource Locator...

Gerou url: blob:https://web.whatsapp.com/2af1c9d0-83fd-400c-b56b-6edb76f8296e Conforme ilustração da foto acima, através deste endereço eletrônico URL – Uniform Resource Locator, qualquer usuário logado no aplicativo WhatsApp, poderá visualizar a imagem.

Foto enviada ao usuário, no caso, eu mesmo no outro aparelho de celular...

Após envia foto, WhatsApp gerou outro link: blob:https://web.whatsapp.com/c893a8c4-19a7-4b7d-9255-0ac27e01cf33

Salvando a foto enviada pelo URL...

Ao clicar na foto, mais um link foi criado, e por enquanto, somente usuários conectados podem salvar a foto. Confira a foto logado.

Agora, veja o usuário desconectado do aplicativo - offline...

Quando desconectado do aplicativo, o usuário não tem acesso a foto ou quaisquer tipos de arquivos. Portanto, até aqui o nível de segurança está dentro do esperado!

O BLOB utilizado na frente do endereço digital da foto (URL) significa que a mesma está criptografada, desta forma, apenas usuários conectados ao aplicativo, que receberam a imagem poderão ter acesso. Porém, se porventura, o usuário, de fora do WhatsApp, tiver o endereço (URI) da foto, poderá ter acesso, mesmo após ser deletada. (Mais adiante falaremos sobre URI e como isso é possível...).

O comando ENCRYPT BLOB criptograma o conteúdo do BLOB to Encrypt com a chave privada do remetente sendPrivKey, bem como, opcionalmente, a chave pública do destinatário recipPubKey. Estas chaves devem ser geradas pelo comando GENERATE ENCRYPTION KEYPAIR (no âmbito do tema"Protocolo Seguro").

Fonte: http://doc.4d.com/4Dv15/4D/15.5/ENCRYPT-BLOB.301-3577460.pt.html

Voltei a me logar no aplicativo...

Diante disso, resolvi deletar a foto, e pesquisar sobre o assunto, mas, antes, nada melhor que dar uma olhada na Política de privacidade do WhatsApp...

Segundo WhatsApp, as mensagens enviadas pelo aplicativo são protegidas com criptografia de ponta-ponta, o que significa que elas não podem ser lidas ou ouvidas por terceiros. Leia mais no link: https://www.whatsapp.com/legal/#privacy-policy

Apagando a foto para todos...

Então, vou apagar a foto em questão para conferir, na prática, se o aplicativo realmente faz jus o que prega na sua política de privacidade. De que os dados enviados através do aplicativo não poderão ser visto por terceiros.

Lembrando que vou apagar mensagem para todos e não somente para mim, portanto, nem um dos aparelhos poderão visualizar a foto após ter sido apagada.

Fonte: https://faq.whatsapp.com/pt_br/android/26000068/

Visualizando o código-HTML da página do aplicativo WhatsApp web...

Encontrando a imagem pelo . Para visualizar este código-fonte, não existiu segredo algum, simplesmente apertei a tecla F12, e em seguida, utilizei o atalho CTRL + P para localizar a imagem.

Imagem encontrada...

A foto foi apagada para todos, mas, dando uma breve olhada no código-fonte HTML do aplicativo, é possível encontrar a imagem ainda acessível para usuários logados.

Encontrando o URI - Identificador de Recursos Universal da foto que foi deletada, mas ainda está aqui...

Conforme ilustração, copiei apenas o URI da foto, e com este Identificador de Recursos Universal, fui capaz de acessar a imagem, mesmo sem está logado no aplicativo WhatsApp.

Acessando foto pelo URI - Identificador de Recursos Universal...

Veja que a foto está sendo acessada através do URI, portanto, não existe mais criptografia ativada para este arquivo. O próprio navegador é capaz de reconhecer que o protocolo SSL/SSH/HTTPS foi descriptografado, por isso, mostra mensagem de Não Seguro.

Salvando foto através do URI da foto, e com este Identificador de Recursos Universal...

No modo privado do Google Chrome, estou acessando o URI, desta maneira, os mais céticos não dirão que a imagem está salva no Cache do Navegador.

Então, se a foto foi apagada para todos, como estou salvado a imagem, mesmo sem está logado no aplicativo WhatsApp? Veja o código-URI da foto.

Código-fonte da URI da foto, Identificador de Recursos Universal...

Salva foto? Bom, isso é possível sim. As URIs são o padrão para identificar documentos com uma curta sequência de números, letras e símbolos. Ou seja, um URI (do inglês Uniform Resource Identifier) é uma cadeia de caracteres compacta usada para identificar ou denominar um recurso na internet. O principal propósito desta identificação é permitir a interação com representações do recurso por intermédio de uma rede, tipicamente a internet, usando protocolos específicos.

O Código-fonte URI desta foto está salvo no https://codepen.io/antonio-carlos/pen/ZoOMjX para fins de comprovação da veracidade sobre a falha do WhatsApp.

Como foi dito antes, com ENCRYPT BLOB o conteúdo do WhatsApp deveria está totalmente seguro já que utiliza o protocolo SSL/HTTPS para enviar e receber as informações. No entanto, na prática, não é nada disso que acontece.

E com essas novas descobertas, como fica a privacidade dos usuários do WhatsApp já que tudo que é apagado para todos ou para mim, ainda continua armazenado em nuvem, com ou sem criptografia?

A Internet é uma verdadeira Matrix, porque tudo que é processado na rede mundial de computadores deixa rastro. Ou seja, qualquer recurso disponível na Web, como documento HTML, texto, imagem, áudio, vídeo, programa, etc. Todos tem que ter um endereço único para que seja possível encontrá-lo de qualquer lugar do mundo. Este endereço é denominado URI (Universal Resource Identifier - Identificador Universal de Recurso). Para fazer uma ligação para uma outra página HTML será preciso referenciar o endereço URI desta outra página.

Já que nenhum arquivo pode ser pagado definitivamente da internet, inclusive do WhatsApp, dar a entender, que todos os dados, como textos, fotos, áudios, vídeos, e outros documentos, de pessoas do mundo inteiro, inclusive no Brasil, que utilizam aplicativos similares, são monitorados e arquivados num grande bando de dados. E o que fazem com essas informações, só Deus e Mark Zuckerberg sabe!