A Meta está corrigindo de forma silenciosa uma vulnerabilidade que permitia identificar o sistema operacional usado no dispositivo de um destinatário. A brecha abria espaço para uma técnica conhecida como device fingerprinting, capaz de revelar se a vítima utilizava Android ou iOS, além de informações sobre a hierarquia do dispositivo — como se ele era o principal ou secundário — e o tempo de uso.
A correção vem sendo implementada sem divulgação formal. A empresa não registrou o problema na base de dados da Common Vulnerability Enumeration (CVE) e tampouco recompensou os pesquisadores responsáveis pela descoberta da falha.
O problema existia devido a valores previsíveis nos identificadores de chaves de criptografia pré-determinados para cada tipo de dispositivo. Esses padrões permitiam que terceiros reconhecessem o sistema operacional com relativa precisão, mesmo sem acesso direto ao aparelho.
WhatsApp corrigiu parcialmente a vulnerabilidade
Em uma publicação recente no Medium, o pesquisador Tal Be’ery afirmou que a Meta já trabalha em medidas de mitigação e conseguiu corrigir parte do problema. Ainda assim, segundo ele, a vulnerabilidade não foi eliminada por completo.
“Os atacantes ainda conseguem distinguir com alta precisão entre celulares Android e iPhone com base no ID PK de uso único”, explicou Be’ery. De acordo com o pesquisador, o iPhone inicializa esse parâmetro com valores baixos e os incrementa lentamente ao longo de alguns dias, enquanto o Android utiliza valores aleatórios em todo o espaço de 24 bits, tornando os dispositivos facilmente distinguíveis.
Correção foi feita sem reconhecimento aos pesquisadores
Um dos pontos criticados por Be'ery do caso é a postura adotada pelo WhatsApp. Mesmo atuando para mitigar o problema, a empresa não registrou oficialmente a vulnerabilidade nem ofereceu recompensas formais por meio de seu programa de bug bounty.
Não é necessário alarde, mas é bom ficar atento
O device fingerprinting é apenas uma das etapas de um ataque cibernético, e o caso do WhatsApp não é exclusivo. A estratégia é bem comum em navegadores, uma vez que saber qual é o sistema utilizado possibilita um ataque mais eficiente.
Nenhum comentário:
Postar um comentário