Hoje nós aprendemos sobre uma importante falha de segurança no WhatsApp, que pode vazar seu endereço IP. O WhatsApp teve sérias falhas de segurança ao longo da história. Um dos mais importantes estava relacionado às chamadas perdidas. Só por receber uma chamada perdida, qualquer pessoa pode roubar chats e imagens do nosso telemóvel. Agora, uma nova falha de segurança expõe o endereço IP do usuário.
O bug foi descoberto por um usuário chamado bhdresh, que até mesmo criou uma prova de conceito na qual demonstra como a vulnerabilidade funciona e como pode ser explorada para obter o endereço IP de uma pessoa apenas fazendo uma chamada através do aplicativo.
Qualquer pessoa pode saber seu IP através do WhatsApp com esta falha de segurança
A falha de segurança funciona mesmo na versão mais recente do aplicativo. Para fazer isso, primeiro você deve configurar um script que possa ler o tráfego ao fazer uma chamada ou vídeo chamada no aplicativo. Depois disso, o aplicativo do remetente tenta estabelecer uma conexão com o endereço IP do receptor. Ao filtrar o endereço IP do servidor do Facebook e WhatsApp do destinatário, é possível revelar seu endereço IP sem que o usuário saiba.
Com esse método, os usuários podem aprender endereços IP públicos para descobrir a localização aproximada desses usuários e, assim, ser capazes de rastrear seus movimentos criando um histórico de localização.
Para realizar o ataque é necessário, em primeiro lugar, que o smartphone e o computador estejam conectados à mesma rede wi-fi.
Depois disso, só falta ligar para qualquer usuário do WhatsApp. A chamada deve ser estabelecida entre ambas as partes, e então podemos desligar, pois o script já mostrará o endereço IP do destinatário.
Facebook diz que não vai consertar
O usuário que descobriu essa vulnerabilidade relatou o bug ao Facebook em 14 de outubro de 2020, mas a rede social disse que essa era a operação esperada e não havia nada para corrigir, então eles não iam dar uma recompensa. O único conselho que deram foi usar uma VPN se não quisessem que seu endereço IP vazasse.
Em março de 2021, a Signal introduziu um mecanismo para redirecionar chamadas por meio de um servidor para ocultar o endereço IP real do destinatário. Então, bhdresh perguntou ao Facebook novamente se eles poderiam implementar algo assim, e eles disseram que não, que a implementação atual funciona sem problemas. Portanto, nosso endereço IP pode ser divulgado para qualquer pessoa que nos ligar, então a única solução é usar uma VPN.