"Cuidado com o que você diz", provavelmente você já ouviu ou já disse isso para alguém. Agora, mais um conselho: cuidado com o que você escreve...no WhatsApp. Isso mesmo, nem tudo é secreto no aplicativo.

Pesquisadores da Universidade Ruhr informaram na quarta-feira (10), na conferência de segurança do Real World Crypto, uma série de falhas em aplicativos de mensagens que dizem ter criptografia, como o WhatsApp, Signal e Threema.

De acordo com o estudo, apesar das falhas mais leves em alguns aplicativos, o WhatsApp apresenta problemas graves. Entre eles está a opção que uma pessoa que controla os servidores do WhatsApp poderia adicionar, de forma privada, uma pessoa em um grupo de conversa sem a autorização do administrador, permitindo o acesso a todas as mensagens enviadas.

Mesmo sendo uma falha quase impossível a ser explorada pelo cibercrime, a vulnerabilidade prejudica a relação de confiança criada com a criptografia de ponta-a-ponta, tecnologia essa que o WhatsApp prometeu que seria impossível para a empresa, para autoridades ou para hackers interceptar mensagens que circulam pelo aplicativo.

O problema é que um funcionário poderia entrar em algum grupo sem autorização e ler o que for publicado, e também as autoridades poderiam emitir um mandado que determine que a empresa dê o acesso a um grupo, podendo descobrir tudo que se conversa no espaço.

Tudo isso é possível, segundo os pesquisadores, por um erro simples: apenas o administrador do grupo pode convidar novos integrantes, mas o aplicativo não usa nenhum mecanismo de autenticação para o convite. Sendo assim, é possível incluir novos participantes a partir dos servidores do WhatsApp, sem precisar do administrador.

O WhtasApp confirmou a descoberta, porém, informou que não pretende fazer a correção, pela dificuldade de explorar essa brecha. Até porque quando alguém entra no grupo, o aplicativo mostra um alerta de que há um novo membro. Realmente, em grupos pequenos seria fácil perceber uma nova pessoa, mas em grupos maiores, seria quase impossível perceber que alguém entrou sem autorização do administrador.