Vulnerabilidade de segurança descoberta no WhatsApp

 (univie.ac.at)
1 pontos por GN⁺ 2025-11-22 | 1 comentários | Compartilhar no WhatsApp
  • Pesquisadores da Universidade de Viena e da SBA Research descobriram uma grande vulnerabilidade de privacidade no mecanismo de busca de contatos do WhatsApp, capaz de enumerar 3,5 bilhões de contas
  • Os pesquisadores demonstraram que era possível consultar mais de 100 milhões de números de telefone por hora, e a Meta trabalhou com a equipe para corrigir o problema
  • Os dados que podiam ser coletados incluíam números de telefone, chaves públicas, timestamps e informações de perfil definidas como públicas, permitindo inferir sistema operacional, idade da conta e número de dispositivos conectados
  • A análise mostrou que existem milhões de contas ativas mesmo em países onde o WhatsApp é proibido (China, Irã, Mianmar etc.), e confirmou uma distribuição global de 81% Android e 19% iOS
  • O estudo mostra que há risco de exposição de privacidade apenas com a análise de metadados e destaca a importância de pesquisas de segurança contínuas e independentes

Vulnerabilidade na busca de contatos do WhatsApp é descoberta

  • Os pesquisadores confirmaram que o recurso de descoberta de contatos (contact discovery) do WhatsApp, que encontra outros usuários com base na agenda do usuário, permitia consultar mais de 100 milhões de números de telefone por hora
    • Com isso, foi possível identificar mais de 3,5 bilhões de contas ativas em 245 países
    • Processar tantos pedidos a partir de uma única origem foi avaliado como evidência de uma falha no desenho do sistema
  • Os dados acessíveis incluíam número de telefone, chave pública, timestamps, foto de perfil pública e texto de apresentação, permitindo inferir tipo de sistema operacional, época de criação da conta e número de dispositivos vinculados

Principais resultados da pesquisa

  • Existem milhões de contas ativas mesmo em países onde o WhatsApp é oficialmente proibido (China, Irã, Mianmar)
  • A proporção global de dispositivos foi de 81% Android e 19% iOS, e houve diferenças no comportamento regional de exposição de privacidade (por exemplo, divulgação da foto de perfil e uso de texto de apresentação)
  • Em alguns casos, foi encontrada reutilização de chaves criptográficas, sugerindo a possibilidade de clientes não oficiais ou uso fraudulento
  • Cerca de metade dos 500 milhões de números de telefone incluídos no vazamento de dados do Facebook de 2021 ainda estavam ativos no WhatsApp
    • Isso significa que os números vazados continuam expostos ao risco de danos secundários, como chamadas de golpe

Tratamento dos dados e impacto em segurança

  • Durante a pesquisa, o conteúdo das mensagens não foi acessado, e todos os dados coletados foram apagados antes da divulgação
  • A criptografia de ponta a ponta (end-to-end encryption) do WhatsApp protege o conteúdo das mensagens, mas os metadados não são alvo dessa proteção
  • Os pesquisadores confirmaram que a coleta e análise em larga escala apenas de metadados já podem gerar riscos de violação de privacidade

Cooperação com a Meta e medidas de resposta

  • O estudo foi conduzido de acordo com o princípio de divulgação responsável (responsible disclosure), e os resultados foram reportados imediatamente à Meta
  • Depois disso, a Meta introduziu medidas como limitação de requisições (rate-limiting) e reforço no acesso às informações de perfil
  • A Meta agradeceu a cooperação dos pesquisadores e reconheceu que a nova técnica de enumeração (enumeration) superou os limites das defesas existentes
    • Os resultados também contribuíram para validar a eficácia de seus sistemas anti-scraping
    • Nenhum caso de abuso malicioso foi identificado, e as mensagens dos usuários permaneceram protegidas com segurança

Contexto da pesquisa e continuidade dos estudos

  • Este artigo é o terceiro estudo de segurança em mensageiros conduzido pela Universidade de Viena e pela SBA Research, analisando possíveis exposições de privacidade no desenho e na implementação do WhatsApp e do Signal
  • Pesquisas anteriores:
    • “Careless Whisper” (RAID 2025): demonstrou que é possível inferir padrões de atividade do usuário usando os recibos silenciosos de entrega (silent delivery receipts) do WhatsApp
    • “Prekey Pogo” (USENIX WOOT 2025): analisou fraquezas de implementação no mecanismo de distribuição de prekeys (prekey) do WhatsApp
  • Este novo estudo, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, expande essa linha de pesquisa ao demonstrar empiricamente a possibilidade de enumeração de usuários em escala global
    • Os resultados serão apresentados na conferência NDSS 2026

Significado da pesquisa

  • Os pesquisadores apontam que mesmo sistemas maduros podem ter falhas de desenho e enfatizam que segurança e privacidade precisam de reavaliação contínua
  • Também defendem que a colaboração transparente entre academia e indústria é essencial para proteger usuários e prevenir abusos
  • O estudo fornece uma base para compreender, no longo prazo, a evolução dos sistemas de mensagens e seus novos pontos de risco

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-22
Comentários do Hacker News
  • O timing foi perfeito. Recentemente publicamos uma RFC sobre o método de correspondência de contatos. Esse método é resistente a ataques de enumeração, mas em contrapartida reduz a capacidade de descoberta. Estamos recebendo feedback agora, então vale dar uma olhada — Contact Import RFC
    • Eu também lidei com um problema parecido e dei uma olhada em Private Set Intersection (link da Wiki). Isso tem relação com Zero Knowledge Proofs e pode bloquear o ataque pela raiz sem compartilhar números de telefone em texto puro. Dito isso, essa abordagem pode ser exagerada e talvez tenha limitações de escalabilidade com a tecnologia atual
    • A RFC trata de segurança, mas não menciona privacidade. No fim das contas, continua sendo uma estrutura em que é preciso confiar no servidor ou na instância. Seria bom usar hashes no lugar dos números reais, mas aí não daria para verificar o número e ficaria difícil impedir spoofing. Talvez fosse possível um modelo em que um terceiro confiável, como a EFF ou a Let’s Encrypt, valide os números e o app use apenas os hashes
    • Fico feliz que esse assunto tenha surgido em boa hora. Meu app também vai adicionar sincronização de contatos em breve, então estou pensando em segurança e privacidade. Queria saber se há planos de publicar essa RFC como open source
  • O trecho citado na matéria é interessante. Diz que, entre os 500 milhões de números de telefone expostos no vazamento de dados do Facebook em 2021, metade ainda estava ativa no WhatsApp. Isso mostra que números vazados podem ficar expostos a ligações de spam ou golpes por anos. Parece que a “meia-vida” de um número de telefone é de cerca de 4 a 5 anos
    • Fico surpreso ao ver americanos usando na vida adulta o mesmo número que receberam quando eram crianças. Eu costumava trocar de número todo ano
  • Essa vulnerabilidade existia por causa de um endpoint que permitia verificar se um determinado número de telefone estava vinculado a uma conta do WhatsApp. Era possível consultar praticamente qualquer número, mas isso não parece uma vulnerabilidade tão grave
    • Mas eu me pergunto por que permitem verificar a existência de uma conta por número de telefone. Com endereços de e-mail, esse tipo de verificação é considerado violação de privacidade; não entendo por que com número de telefone seria diferente
    • Tenho recebido muitos SMS de phishing recentemente com nomes como “WatApp” e “whtas app”. Esse tipo de vazamento parece ter aumentado a eficiência dos ataques. Como são mensagens enviadas sem número, também é difícil bloquear
    • Na verdade, para alguém como eu, isso é um recurso conveniente. Se acho o número de um encanador na internet, coloco no WhatsApp; se houver perfil, mando mensagem na hora, e se não houver, entro em contato por ligação ou SMS
  • Isso não foi exatamente um grande vazamento, mas sim o fato de que, com um perfil público configurado, era possível procurar pelo número. Os pesquisadores só consultaram números aleatórios e coletaram informações públicas; não eram dados privados. O Facebook não aplicou rate limit, o que permitiu a coleta em larga escala, mas de qualquer forma eram informações públicas. Se alguém colocou dados sensíveis no perfil público, isso foi escolha do usuário
  • Essa é uma das coisas mais lamentáveis. A humanidade teve a chance de ter o mensageiro pessoal mais popular, mas em 2014 os 19 bilhões de dólares cegaram Brian Acton. O trabalho atual no Signal não é suficiente para desfazer o preço de ter vendido a confiança de bilhões de usuários
    • A UE deveria ter barrado esse negócio. Não fazia sentido uma empresa sem modelo de receita valer 19 bilhões de dólares, e o que o Facebook queria eram os dados dos usuários. Em vez disso, se contentaram com coisas como obrigar USB-C, o que é frustrante
  • Isso é simplesmente um problema de enumeração de números de telefone. Como não é falha de código, mas sim funcionalidade deliberada, é discutível chamar isso de “vulnerabilidade de segurança”
    • Mas um endpoint sensível sem qualquer rate limiting pode sim ser considerado uma falha
    • Mesmo que seja um único número, poder verificar a existência de uma conta já é uma violação de privacidade. Se o serviço em questão for algo inadequado ou sensível, descobrir a inscrição de alguém apenas pelo número é um problema sério. O fato de isso poder ser automatizado para fazer profiling é o que torna a situação perigosa
    • Dizer que era possível fazer algo na ordem de 100 milhões de requisições por segundo é realmente absurdo
  • Hoje de manhã percebi que fui desconectado do WhatsApp de repente. Tentei entrar de novo, mas o SMS de verificação não chegava; por sorte consegui receber o código de recuperação pela opção “receber por ligação”. Mas eu não tinha configurado o PIN de 2FA, então a recuperação ficou bloqueada, e também não tinha configurado recuperação por e-mail. Agora estou preso na espera de 7 dias. O número ainda é meu, mas mesmo assim não consigo recuperar a conta, o que é estranho. Recomendo fortemente que todos ativem 2FA e e-mail de recuperação
    • Se fosse possível recuperar uma conta apenas com o número de telefone, isso seria um risco de segurança ainda maior. Se o número for reatribuído, o novo usuário herdaria as conversas e os contatos do dono anterior
  • Isso é parecido com o artigo sobre busca de contatos no WhatsApp, Telegram e Signal publicado em 2020 (link). No fim, a única coisa que impede enumerar todo o conjunto de números de telefone é o rate limit no lado do servidor. Fico curioso para saber se os limites de cada mensageiro são suficientes
  • Já participei de uma pesquisa desse tipo antes. A lista de prefixos de celular por país foi muito útil. Mas não consegui encontrar o link citado para libphonegen
  • O ponto central é o risco da centralização dos serviços de mensagens. Na verdade, centralização é um problema em qualquer área, mas os usuários ainda querem conveniência e integração. Implementar isso em um sistema distribuído é realmente muito difícil
    • Às vezes penso em como teria sido se isso tivesse começado de forma aberta, como o e-mail. Se nos anos 90 as pessoas tivessem perguntado “qual é sua chave pública?” em vez de “qual é seu endereço de e-mail?”, talvez hoje estivéssemos vivendo numa utopia digital
    • O SimpleX Chat parece um exemplo que combina muito bem segurança e descentralização
    • Sinceramente, em termos de capacidade técnica, confio mais na Meta do que no governo. Projetos digitais do governo têm uma taxa de fracasso alta e, por mais que se critique as FAANG, é difícil obter resultados melhores do que os delas
    • Acabei de ler a thread sobre Matrix que subiu para a página principal do HN, e a discussão era no mesmo espírito