Notebookcheck Logo

Segurança fraca no WhatsApp e no Signal permite que invasores pouco habilidosos rastreiem usuários

Rastreamento do WhatsApp (imagem simbólica criada com o Stable Diffusion)
Rastreamento do WhatsApp (imagem simbólica criada com o Stable Diffusion)
Pesquisadores da Universidade de Viena descobriram vulnerabilidades no WhatsApp e no Signal que permitem o rastreamento indetectável de usuários por meio de medições de tempo de ida e volta (RTT). Um programa simples, agora disponível no GitHub, demonstra a facilidade com que esse ponto fraco pode ser explorado.
Security Science Software Hack / Data Breach Social Media

Um grupo de pesquisadores da Universidade de Viena encontrou uma pequena, mas grave, falha de segurança na forma como os serviços de mensagens criptografadas de ponta a ponta (E2EE) funcionam. O estudo, publicado inicialmente em 17 de novembro de 2024, com o título "Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengersdestaca a possibilidade de rastrear dispositivos usando dados de tempo de ida e volta (RTT) quando o WhatsApp ou o Signal estão instalados.

Um programa foi lançado no GitHub que pode explorar automaticamente essa vulnerabilidade no WhatsApp. Embora o fornecimento de tal ferramenta levante preocupações éticas, seu objetivo é pressionar o WhatsApp a resolver a falha de segurança e melhorar as proteções de privacidade do usuário.

Acontece que a ideia básica por trás desse programa é surpreendentemente simples. O rastreador envia mensagens de reação para IDs de mensagens inexistentes. O dispositivo alvo ainda responde com um recibo de entrega. Essa reação, invisível para o usuário, revela o tempo necessário para enviar e receber a solicitação manipulada - o RTT.

Embora esses pontos de dados por si só não revelem uma localização imediata, eles podem fornecer insights valiosos quando coletados por períodos prolongados. Os padrões nos dados RTT podem indicar quando um dispositivo está ativamente em uso ou em modo de espera. Um tipo de conexão de rede, como Wi-Fi ou celular, também pode ser deduzido. Ao analisar esses padrões de atividade durante horas ou dias, os invasores podem tirar conclusões sobre o comportamento do usuário. Além disso, as solicitações constantes consomem a vida útil da bateria e os dados móveis do smartphone afetado.

Atualmente, os usuários têm opções limitadas para se defender contra esse método de rastreamento. Não há notificações nos smartphones alertando os usuários sobre esse monitoramento. O número de telefone do invasor não pode ser obtido, o que impossibilita o bloqueio. Nem o Signal nem o WhatsApp oferecem atualmente uma opção para desativar os recibos de entrega. Uma solução drástica é a única opção no momento. Remoção de todos os serviços de mensagens criptografadas de ponta a ponta afetados do seu dispositivo.

Please share our article, every link counts!
Mail Logo
> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2025 12 > Segurança fraca no WhatsApp e no Signal permite que invasores pouco habilidosos rastreiem usuários
Marc Herter, 2025-12-11 (Update: 2025-12-11)