WhatsApp detecta falha que permitiu a hackers acesso aos dados nos telefones

Segundo a empresa, trata-se de um ataque seletivo, que afetou organizações de direitos humanos, advogados e jornalistas. Principal suspeito é o grupo de cibersegurança israelense NSO Group

Usuário diante do logo do WhatsApp
Usuário diante do logo do WhatsApp

O WhatsApp, o aplicativo de mensagens propriedade do Facebook e que tem a privacidade de seu sistema criptografado como principal propaganda, reconheceu ter sofrido um ataque informático que, sem a intervenção do usuário, permitiu o acesso a dados através de um programa espião. A empresa reconheceu a vulnerabilidade detectada e pediu a seu 1,5 bilhão de clientes que atualize o aplicativo para evitar a invasão. O Facebook acusou a empresa israelense NSO pela origem do ataque, mas ela negou seu envolvimento.

O Facebook comunicou, após uma informação publicada pelo Financial Times, que desconhece quantos usuários foram afetados, mas afirmou que não se trata de um ataque maciço e sim seletivo, já que os usuários afetados são organizações de direitos humanos, advogados e jornalistas, entre outros coletivos.

Mais informações

O ataque ocorreu através de um programa semelhante ao desenvolvido pelo grupo NSO e agia por uma ligação de WhatsApp ao telefone das vítimas, que sequer precisavam atender para que o programa entrasse em funcionamento. De fato, o número do emissor desaparecia das notificações de chamadas perdidas.

“Esse ataque tem todas as características de uma empresa privada conhecida por trabalhar com Governos para infectar com programas espiões que controlam as funções dos sistemas operacionais dos celulares”, disse o Facebook ao jornal que publicou a notícia.

“Sob nenhuma circunstância, a NSO esteve envolvida na operação [ataque] e na identificação de alvos. Nossa tecnologia só opera com agências de inteligência e legais. A NSO não usaria e não poderia usar sua tecnologia contra pessoas e organizações”, respondeu a empresa apontada pela semelhança de seu programa com o detectado.

Solução

O WhatsApp comunicou o ataque aos usuários afetados individualmente, às empresas de segurança com as quais colabora e ao Governo norte-americano. Além disso, desenvolveu uma correção que soluciona a falha tanto nos sistemas operacionais do Android como de IOS e a colocou à disposição de todos os clientes para que atualizem o programa.

O ataque coloca sob suspeita uma das principais garantias do WhatsApp, que afirma que “a privacidade e a segurança estão em seu DNA”. De acordo com a empresa, a plataforma de mensagens é construída com um sistema criptográfico que faz com que toda a informação compartilhada seja visível somente pelo emissor e o receptor e destinatários, no caso de grupos. “Suas mensagens, fotos, vídeos, mensagens de voz, documentos e ligações estão a salvo de cair em mãos erradas”, afirma a empresa.

O ataque sofrido, entretanto, coloca essa premissa em dúvida. O código malicioso detectado é capaz de acessar as conversas criptografadas, os dados de contato, as imagens e qualquer informação do telefone.

Os engenheiros do Facebook desenvolveram uma correção que deveria ter sido instalada automaticamente se o usuário tivesse a atualização mecânica ativada. Ele pode, entretanto, consultar na plataforma de aplicativos e, se observar que tem a opção de realizá-la manualmente, a empresa pede para que execute a ação.

As versões afetadas são as anteriores à v2.19.134 do Android, à v2.19.44 do WhatsApp para negócios, à v2.19.51 dos celulares Apple, à v2.18.348 de telefones de Windows e à v2.18.15 do aplicativo para Tizen.

Twitter pede desculpas por falha que permitiu o compartilhamento de dados de localização

O Twitter alertou e pediu desculpas por um erro que permitiu “inadvertidamente” o armazenamento e compartilhamento de dados de localização de usuários da rede social em aparelhos com sistema operacional IOS (Apple).

A falha, como reconheceu a empresa, ocorreu nos usuários com mais de uma conta no Twitter e que ativaram a opção de localização em uma delas.

A informação foi compartilhada durante uma campanha de publicidade que não incluía a informação de localização, mas o sistema falhou e foram publicados dados de códigos postal e cidade. Não foram obtidos a situação exata, os movimentos precisos e quaisquer informações de identidade.

A informação foi armazenada durante um curto período na empresa ligada à campanha e já foi apagada. O Twitter afirma que solucionou o problema, mas pede aos usuários que revisem seus ajustes de privacidade.