O WhatsApp, a aplicação de mensagens mais usada do mundo, volta a estar no centro de uma polémica que mistura privacidade, tecnologia e um certo toque de ingenuidade corporativa.
Segundo investigadores da Universidade de Viena, uma falha básica permitiu recolher 3,5 mil milhões de números de telefone simplesmente ao testar combinações numéricas na ferramenta de descoberta de contactos do WhatsApp. Sim, funcionava como tentar todas as chaves até abrir a porta.
Este método, conhecido como enumeração, aproveitou o modo como o WhatsApp verifica automaticamente se um número existe na plataforma. O resultado foi uma lista colossal de números de telefone, acompanhada de fotografias de perfil e, em muitos casos, o texto do perfil dos utilizadores.
WhatsApp e a falha repetida: o aviso ignorado desde 2017
Esta vulnerabilidade não é exactamente uma surpresa. Já em 2017, o investigador neerlandês Loran Kloeze tinha alertado para este problema. Na altura, a Meta minimizou a questão e até recusou classificá-la como falha de segurança. Oito anos depois, o mesmo tipo de ataque permite extrair um número astronómico de perfis, provando que pouco mudou até 2025.
A equipa austríaca explica que a Meta só corrigiu o problema depois de ter sido alertada este ano, implementando limitações mais rígidas na velocidade a que pedidos podem ser feitos. Antes disso, era possível verificar cento de milhões de números por hora através da versão Web do WhatsApp.
WhatsApp e Meta respondem, mas não convencem
A Meta agradeceu aos investigadores e classificou os dados expostos como “informação pública básica”, argumentando que as fotografias e o texto de perfil só aparecem publicamente se o utilizador permitir. Segundo a empresa, não há provas de que agentes maliciosos tenham explorado esta falha e que, graças ao encriptação ponta-a-ponta, as mensagens continuam seguras.
A questão, claro, é que o problema nunca teve a ver com mensagens. Teve a ver com o facto de que qualquer pessoa podia recolher o número de telefone de qualquer utilizador no planeta e associá-lo a uma fotografia e a uma descrição. Para muitos especialistas em privacidade, isso já é motivo suficiente para soar o alarme.
O tamanho real da exposição: percentagens que assustam
Os investigadores descobriram que:
- 57 por cento dos utilizadores tinham a fotografia de perfil pública
- 29 por cento tinham texto no perfil igualmente público
- Em países como a Índia, 62 por cento das contas exibiam fotografias
- No Brasil, o valor era 61 por cento
Em conjunto, estes dados permitem identificar pessoas reais, cruzar rostos e números e construir bases de dados que seriam o sonho de qualquer spammer, esquemas fraudulentos ou até governos autoritários.
O estudo destaca ainda algo particularmente preocupante: encontraram milhões de números de países onde o WhatsApp é oficialmente proibido, como China e Myanmar, o que significa que estes utilizadores podiam ter sido identificados e perseguidos apenas por usarem a aplicação.
Problemas nos bastidores: chaves duplicadas e clientes modificados
Durante a investigação, a equipa de Viena também encontrou duplicações nas chaves criptográficas usadas para receber mensagens encriptadas. Algumas destas chaves eram reutilizadas centenas de vezes e chegaram a identificar números com chaves compostas só por zeros.
Isto aponta para outro problema: a utilização de clientes não oficiais do WhatsApp, muitas vezes usados por redes de spam, que podem quebrar o protocolo de segurança e comprometer ainda mais os utilizadores.
O problema estrutural: números de telefone não são identidades
Os investigadores concluem com um aviso importante. O número de telefone, na prática, não tem entropia suficiente para ser usado como identificador único de uma plataforma com milhares de milhões de utilizadores. É demasiado fácil de adivinhar, demasiado previsível e demasiado exposto.
O WhatsApp tem vindo a testar um sistema de nomes de utilizador, o que pode aliviar parte do problema, mas até agora depende quase totalmente do número de telefone como chave de acesso.
Em suma
A falha que permitiu expor 3,5 mil milhões de números de telefone no WhatsApp mostra como um mecanismo simples pode ter consequências globais. Apesar de a Meta ter corrigido o problema, o facto de ter permanecido aberto durante anos demonstra uma falta de atenção preocupante numa plataforma usada diariamente por mais de um terço da população mundial.
A privacidade nunca depende apenas da encriptação das mensagens. Depende da forma como os sistemas são concebidos e do quão difícil é para terceiros obterem dados pessoais à escala. No caso do WhatsApp, a porta esteve demasiado tempo encostada. E milhões de utilizadores passaram por ela sem sequer saber.
