Vulnerabilidade Crítica no WhatsApp Expõe Números de Telefone de 3,5 Bilhões de Usuários

Pesquisadores de segurança da Universidade de Viena revelaram uma vulnerabilidade crítica no WhatsApp que permitiu a enumeração de números de telefone de 3,5 bilhões de usuários em todo o mundo. A falha expõe uma brecha massiva de privacidade na plataforma de mensagens mais popular do planeta.

A vulnerabilidade de segurança reside no mecanismo de descoberta de contatos do WhatsApp, que permite aos usuários verificar se seus contatos estão registrados na plataforma. Os pesquisadores exploraram proteções de limite de taxa (rate-limiting) fracas para sondar mais de 100 milhões de números de telefone por hora sem encontrar bloqueios ou medidas eficazes de limitação.

Utilizando APIs do WhatsApp por engenharia reversa, a equipe consultou sistematicamente 63 bilhões de números de telefone candidatos em 245 países entre dezembro de 2024 e abril de 2025.

Exposição Massiva de Dados Além dos Números de Telefone

A vulnerabilidade expôs muito mais do que apenas números de telefone. Os pesquisadores conseguiram recuperar fotos de perfil públicas, mensagens de status, informações de contas comerciais, detalhes de dispositivos, chaves de criptografia e carimbos de data/hora para as contas descobertas.

De forma mais alarmante, eles baixaram com sucesso 77 milhões de fotos de perfil públicas de contas com números de telefone dos EUA, com análises de reconhecimento facial revelando que 66% continham rostos humanos detectáveis. Esses dados poderiam permitir que atores maliciosos construíssem um serviço de consulta baseado em reconhecimento facial, vinculando indivíduos aos seus números de telefone.

A pesquisa revelou implicações particularmente preocupantes para usuários em países onde o WhatsApp é oficialmente proibido. Os pesquisadores descobriram 2,3 milhões de contas ativas na China, 1,6 milhão em Mianmar e 59 milhões no Irã, apesar das restrições governamentais. Em regiões onde aplicativos de mensagens são proibidos, tais informações podem acarretar sérias consequências para os usuários, potencialmente expondo-os à vigilância governamental ou a penalidades legais.

Ao comparar seu conjunto de dados com o vazamento de dados do Facebook de 2021, que continha 500 milhões de registros, os pesquisadores descobriram que quase metade dos números de telefone vazados permaneciam ativos no WhatsApp seis anos depois. Isso demonstra a natureza duradoura das violações de dados e destaca como informações uma vez expostas continuam a representar riscos de segurança por longos períodos. A validade persistente dos dados vazados os torna uma base confiável para campanhas de spam, ataques de phishing e chamadas indesejadas.

Medidas de Mitigação e Segurança Futura

Após a divulgação responsável, o WhatsApp colaborou com a equipe para implementar múltiplas contramedidas, incluindo limitação de taxa baseada em cardinalidade usando estruturas de dados probabilísticas, restrição de acesso a fotos de perfil e mensagens de status (mesmo quando definidas como públicas) e remoção de carimbos de data/hora de consultas de fotos de perfil. A empresa também corrigiu uma vulnerabilidade de reutilização de chave em clientes Android.

O WhatsApp afirmou que as mensagens dos usuários permanecem protegidas por criptografia de ponta a ponta por padrão e agradeceu aos pesquisadores pela colaboração nos testes de mitigação. A descoberta ressalta os desafios fundamentais de privacidade em plataformas de mensagens centralizadas e demonstra como recursos de design destinados à conveniência do usuário podem se tornar vulnerabilidades de segurança quando inadequadamente protegidos contra abusos em larga escala.

Traduzido e adaptado de AnuPriya.

(GMI-15-05-2024-10:30:00-MVP-APWAI)