O WhatsApp e o Telegram podem não ser tão seguros quanto você acha, sugere novo estudo
Mensageiros móveis populares como o WhatsApp expõem dados pessoais por meio de serviços de descoberta que permitem aos usuários encontrar contatos com base nos números de telefone de sua agenda, dizem os pesquisadores.
Londres, Mensageiros móveis populares como o WhatsApp expõem dados pessoais por meio de serviços de descoberta que permitem aos usuários encontrar contatos com base nos números de telefone de sua agenda, dizem os pesquisadores.
Ao instalar um mensageiro móvel como o WhatsApp, novos usuários podem começar imediatamente a enviar mensagens de texto para contatos existentes com base nos números de telefone armazenados em seus dispositivos.
Para que isso aconteça, os usuários devem conceder permissão ao aplicativo para acessar e carregar regularmente seu catálogo de endereços para os servidores da empresa em um processo chamado descoberta de contato móvel.
O estudo da Universidade Técnica de Darmstadt e da Universidade de Würzburg, na Alemanha, mostra que os serviços de descoberta de contatos atualmente implantados ameaçam gravemente a privacidade de bilhões de usuários.
Utilizando poucos recursos, os pesquisadores foram capazes de realizar ataques de rastreamento práticos contra os populares mensageiros WhatsApp, Signal e Telegram .
Os resultados dos experimentos demonstram que usuários mal-intencionados ou hackers podem coletar dados confidenciais em grande escala e sem restrições dignas de nota, consultando os serviços de descoberta de contato para números de telefone aleatórios.
Para o estudo, os pesquisadores consultaram 10 por cento de todos os números de telefones móveis dos EUA para o WhatsApp e 100 por cento para o Signal.
Desse modo, eles foram capazes de coletar (meta) dados pessoais comumente armazenados nos perfis de usuário dos mensageiros, incluindo fotos de perfil, apelidos, textos de status e o “último tempo online”.
Os dados analisados também revelam estatísticas interessantes sobre o comportamento do usuário. Por exemplo, muito poucos usuários alteram as configurações de privacidade padrão, que para a maioria dos mensageiros não são amigáveis à privacidade.
Os pesquisadores descobriram que cerca de 50% dos usuários do WhatsApp nos Estados Unidos têm uma foto de perfil público e 90% um texto público “Sobre”.
Curiosamente, 40 por cento dos usuários do Signal, que podem ser considerados mais preocupados com a privacidade em geral, também estão usando o WhatsApp, e todos os outros usuários do Signal têm uma imagem de perfil público no WhatsApp.
Rastrear esses dados ao longo do tempo permite que os invasores construam modelos de comportamento precisos.
Quando os dados são combinados em redes sociais e fontes de dados públicas, terceiros também podem construir perfis detalhados, por exemplo, para enganar os usuários.
Para o Telegram, os pesquisadores descobriram que seu serviço de descoberta de contato expõe informações confidenciais até mesmo sobre proprietários de números de telefone que não estão registrados no serviço.
“Quais informações são reveladas durante a descoberta do contato e podem ser coletadas por meio de ataques de rastreamento depende do provedor de serviços e das configurações de privacidade do usuário”, escreveram os pesquisadores.
Como não há restrições dignas de nota para a inscrição em serviços de mensagens, qualquer terceiro pode criar um grande número de contas para rastrear o banco de dados do usuário de um messenger em busca de informações, solicitando dados para números de telefone aleatórios.
“Aconselhamos fortemente a todos os usuários de aplicativos de mensagens que revisem suas configurações de privacidade”, disse a equipe.
O estudo está programado para ser lançado em fevereiro de 2021 no 28º Simpósio Anual de Segurança de Sistemas Distribuídos e Redes (NDSS), uma conferência importante para segurança de TI.