Estas falhas permitem que os atacantes intercetem e modifiquem o conteúdo de mensagens enviadas tanto em privado como em conversações de grupo. Podem também criar e espalhar informações falsas.
O problema reside na forma como a aplicação mobile comunica com o whatsapp versão Web e desencripta as mensagens usando o protocolo protobuf2.
As falhas permitem que os hackers abusem do recurso "quote" numa conversa de grupo do WhatsApp para alterar a identidade do remetente ou alterar o conteúdo da resposta dos membros para uma conversa em grupo ou enviar mensagens privadas para um dos membros do grupo disfarçadas como mensagem de grupo. Especialistas apontaram que falhas não podem ser exploradas para acessar o conteúdo de mensagens criptografadas de ponta a ponta e, para explorá-las, os atacantes já devem fazer parte de conversas em grupo.
O que permitem estas falhas?
1. Mudar a resposta de alguém e colocar palavras na boca dessa pessoa e as quais ela não disse
2. Transcrever uma mensagem numa resposta a uma conversação de grupo de forma a fazer com essa mensagem tenha vindo de alguém que não faz parte do grupo
3. Enviar uma mensagem a um membro do grupo que é suposto ser privada, mas que vai para o grupo todo
Eis a declaração dos investigadores:
“By decrypting the WhatsApp communication, we were able to see all the parameters that are actually sent between the mobile version of WhatsApp and the Web version. This allowed us to then be able to manipulate them and start looking for security issues.” states the experts.
Os investigadores publicam um vídeo onde explicam como é que esta falha pode ser explorada: