SIGA-NOS NO FACEBOOK

segunda-feira, 17 de julho de 2017

Cuidado! WhatsApp está vazando informações pessoais para servidores externos

De acordo com um documento divulgado nesta semana por um hacker que atende pelo codinome de "mulander" (via Twitter), e posteriormente compartilhado em vídeo pelo YouTuber Colin Hardy, o mensageiro está vazando o endereço IP privado dos usuários para servidores web externos – o protocolo fica visível em servidores que não pertencem a WhatsApp.

Quando você conversa com seus amigos a respeito de um determinado site em uma rede social – como Facebook ou Twitter, por exemplo –, os servidores oficiais desta plataforma, em conjunto com os seus bots, trabalham para conferir a integridade dos dados referentes a este site trafegando na rede, no intuito de verificar se a página web em questão é real ou não.

É possível conseguir uma visualização prévia desta página web quando você envia um link para alguém, por exemplo – é aí que os bots entram em ação – os algoritmos por sua vez rastreiam a URL e encontram uma forma para exibir esta prévia em miniatura fundamentada no link, é um conceito básico nas redes sociais e mensageiros.

Contudo, realizar um ping – utilitário baseado no protocolo ICMP no teste de conectividade entre dispositivos – nesta circunstância também pode registrar a solicitação de tráfego em servidores externos. Este log exibe o endereço IP do bot do servidor que está tentando acessá-lo. Assim, quando você inicia um ping para google.com em um chat do Facebook, os bots do Facebook estão pisando nos servidores do Google, e, da mesma forma, os servidores do Google registram todos os passos destes bots do Facebook, incluindo o IP da máquina que iniciou este utilitário. Infelizmente, no caso do WhatsApp o IP privado do usuário também é exibido nesta ação.

Então quando você envia um link para um contato através do mensageiro, seu endereço IP privado será exibido nos servidores da página que você compartilhou. Em teoria, a WhatsApp deve sempre utilizar seus próprios servidores para acessar servidores externos, ao invés de utilizar o dispositivo do usuário como ponte. Esta solução representa um risco potencial para os usuários finais, e mesmo que não seja uma ameaça crítica obviamente é errôneo fornecer de bandeja o endereço IP de qualquer pessoa para servidores de terceiros.

A WhatsApp por ora não se pronunciou a respeito desta descoberta no arquétipo do aplicativo.