Verificação em duas etapas no WhatsApp, segurança adicional ou enganação?

O WhatsApp é a aplicação de mensagens mais utilizada no mundo, somando mais de 1,5 Bilhão de usuários em mais de 180 países. Essas aplicações de comunicação cada dia mais usadas são atualizadas com medidas de segurança para garantir a privacidade dos usuários, uma delas é a verificação em duas etapas. O WhatsApp introduziu o recurso em 2016, anos mais tarde do que outros players como Google (2012) e Facebook (2011).

Houve recentemente casos de uso indevido de aplicações de mensagens, como a invasão do WhatsApp de Albert Rivera, líder do partido Ciudadanos na Espanha, e o que ficou conhecido como Vaza Jato, o hacking que tornou pública a troca de mensagens entre promotores e juízes no Brasil.

Esses ataques ocorreram apesar da verificação de dois fatores, o que indica que, hoje, essa é uma medida básica de segurança.

Como funciona a verificação em duas etapas?

Em linhas gerais, a verificação em duas etapas do WhatsApp funciona assim:

• Ao conectar a aplicação pela primeira vez em um novo dispositivo, é solicitada um passo adicional de verificação de acesso caso esse recurso estivesse ativado para a conta
• Uma vez instalado, o app pedirá de maneira periódica um código de verificação criado pelo usuário para confirmar a continuidade do acesso legítimos à conta

Aparentemente, ambos os recursos são destinados a proteger as contas, mas de maneira diferente: a primeira é evitar que a conta seja sequestrada a partir de outros dispositivos e a segunda é evitar acesso à conta caso o dispositivo em que ela esteja cadastrada seja perdido ou roubado. Mas o quadro não é tão simples assim, já que a solicitação recorrente da senha não é, na realidade, uma medida de segurança considerada como segundo fator de autenticação. Isso porque o código não é necessário para acessar as conversas no app, na verdade é possível driblar essa verificação, como mostramos no vídeo abaixo.

O que o Facebook tem a dizer?

No vídeo podemos ver como a verificação em duas etapas não impede o acesso à informação do app, mesmo sem o conhecimento do código, isso nos levou e pensar em uma possível vulnerabilidade que levamos ao conhecimento do Facebook, empresa dona do WhatsApp e que gerenciam seu programa de bug bounty. Nossa mensagem foi a seguinte:

Descrição
“Usando um telefone Android, Xiaomi Redmi Note 5, com Android versão 8.1.0 e um Huawei Note Pro, ambos usando a versão 2.18.277 do WhatsApp, pudemos realizar o by pass na autenticação em dois fatores.”

Impacto
“É possível acessar todas as informações nos dispositivos quando o by pass no 2º fator de autenticação é realizado, também pode-se enviar e receber mensagens e conversas em grupo.”

A resposta do Facebook foi a seguinte:

Conscientização

É importante que os usuários entendam os recursos de proteção que são aplicados aos seus dados pessoais e, nesse caso, que saibam que se não dispõem do PIN ou padrão de bloqueio do dispositivo, ainda é possível acessar as conversas armazenadas do WhatsApp. Na minha opinião, adicionar um sistema que parece com uma medida de segurança sem que o seja realmente, cria uma falsa sensação de segurança no usuário.

O incômodo de receber a solicitação do PIN de forma habitual pode levar alguns usuários a desativar por completo o segundo fator de autenticação já que, como indica o próprio WhatsApp em seu site, não é possível ter um recurso habilitado sem ou outro. Desabilitar por completo as verificações adicionais põem em risco as contas do usuário.

Entendemos que o WhatApp introduziu essa medida com a intenção de facilitar o uso pelo usuário, mas como vimos ele tem problemas de implantação.

Esperamos que o WhatsApp corrija essa implementação, modificando como ela funciona para permitir que o usuário decida seus recursos de proteção de conta de maneira mais granular. Para todos nós que trabalhamos com cibersegurança, é importante conhecer esses casos de uso e não cair nesse tipo de medida que pode confundir o usuário.