Nova Delhi, a agência de segurança cibernética da Índia, CERT-In, detectou uma vulnerabilidade no recurso de “vinculação de dispositivos” do WhatsApp que permite que invasores obtenham controle “total” sobre uma conta, incluindo acesso a mensagens, fotos e vídeos em tempo real na versão web.
A agência denominou o problema de “GhostPairing” na sexta-feira em consulta acessada pelo PTI.
“Foi relatado que os invasores estão usando o recurso de vinculação de dispositivos do WhatsApp para roubar contas usando códigos de conexão sem requisitos de autenticação.
“Esta campanha cibernética recentemente identificada, chamada GhostPairing, permite que os cibercriminosos obtenham controle total sobre as contas do WhatsApp sem a necessidade de alterar senhas ou cartões SIM”, afirmou.
Aguarda-se resposta do WhatsApp sobre a exposição.
A Equipe de Resposta a Emergências Informáticas da Índia é o braço tecnológico do país para combater ataques cibernéticos e proteger o espaço cibernético da Índia.
O relatório afirma que uma campanha de ataque de “alto perfil” normalmente começa com a vítima recebendo uma mensagem como “Olá, dê uma olhada nesta foto” de um contato “confiável”.
A mensagem contém um link com uma visualização no estilo do Facebook. O link leva a um visualizador “falso” do Facebook que solicita aos usuários que “confirmem” a visualização do conteúdo. Aqui, os invasores estão usando o recurso “conectar dispositivo por número de telefone” do WhatsApp, enganando usuários desavisados para que insiram seus números de telefone, disse o relatório.
Dessa forma, as vítimas “sem saber” dão aos invasores acesso total às suas contas do WhatsApp.
O ataque GhostPairing engana os usuários para que forneçam acesso ao navegador do invasor como um dispositivo adicional confiável e oculto, usando um código de emparelhamento que parece autêntico.
O relatório diz que assim que um invasor conecta seu dispositivo, ele obtém quase o mesmo acesso que uma vítima teria na rede WhatsApp.
Eles podem ler mensagens sincronizadas com seus dispositivos, receber novas mensagens em tempo real, ver fotos, vídeos e notas de voz, e podem enviar mensagens para os contatos e bate-papos em grupo da vítima, disse o relatório.
O órgão sugeriu contramedidas como não clicar em links suspeitos, mesmo que venham de contatos conhecidos, e não inserir seu número de telefone em sites externos fingindo ser WhatsApp ou Facebook.
Esta matéria foi gerada a partir de um feed automático de agências de notícias sem alterações no texto.
