Uma equipa de investigadores da Universidade de Viena trouxe a público uma descoberta inquietante sobre a forma como o WhatsApp gere os números de telefone dos seus utilizadores. Através de uma técnica de enumeração, foi possível varrer uma quantidade astronómica de contactos, abrangendo potencialmente 3,5 mil milhões de contas em 245 países diferentes. A falha, entretanto mitigada, permitia recolher metadados sem que os sistemas de segurança da plataforma bloqueassem a atividade.
Uma lista telefónica global não solicitada
O método desenvolvido pelos académicos não envolveu um ataque direto às mensagens privadas, mas sim uma exploração inteligente da forma como a plataforma verifica se um número de telefone está registado. Ao gerar vastas combinações de números de telefone e consultar os servidores do WhatsApp a uma velocidade vertiginosa — superior a 100 milhões de números por hora —, os investigadores conseguiram contornar os limites de taxa habituais que normalmente bloqueariam este tipo de comportamento massivo.
Embora o conteúdo das conversas e as listas de contactos tenham permanecido seguros, a técnica permitiu recolher informações valiosas. Entre os dados acessíveis encontravam-se os carimbos de data/hora e as chaves públicas de encriptação. Estes elementos, aparentemente inócuos, permitiram inferir detalhes como a idade da conta, o sistema operativo utilizado e até os dispositivos vinculados. Além disso, as fotos de perfil e as descrições "Sobre" que estivessem configuradas como públicas ficaram expostas a este varrimento silencioso.
A resposta da Meta e as correções de segurança
Conforme detalhado no documento de investigação publicado no GitHub, a Meta já reagiu a estas descobertas. A gigante tecnológica esclareceu que os investigadores não obtiveram 3,5 mil milhões de números reais de uma base de dados, mas sim que conseguiram identificar quais dos números gerados aleatoriamente correspondiam a contas ativas na plataforma.
Um dado curioso revelado pelo estudo é a persistência dos dados: quase metade dos números de telefone que faziam parte da infame fuga de dados do Facebook em 2021 continuam ativos no WhatsApp hoje em dia. A dona do Facebook e do Instagram assegurou que não encontrou provas de que esta vulnerabilidade tenha sido explorada por agentes maliciosos e confirmou que os dados recolhidos pelos investigadores foram eliminados.
Para fechar esta porta, a empresa implementou mitigações do lado do servidor que começaram a ser distribuídas em setembro de 2025, com proteções adicionais adicionadas em outubro. Para quem procura alternativas com foco diferente na privacidade, o estudo sugere olhar para opções como o Signal, Wire ou Threema.
Nenhum comentário
Seja o primeiro!