Falhas na forma como parâmetros de mensagens eram processados permitiam alterar respostas, simular remetentes em grupos e criar mensagens privadas com efeito público.
| Componente | Fluxo de mensagens entre WhatsApp móvel, WhatsApp Web e conversas privadas ou em grupo, com dados serializados em protobuf2. |
| Vetor | Manipulação de parâmetros de mensagens após decriptação da comunicação da sessão do WhatsApp Web, com uso de chaves da sessão e do parâmetro secret trocado durante o pareamento por QR code. |
| Impacto | Criação de respostas falsas, alteração aparente de autoria em grupos e envio de mensagens visíveis apenas a um membro cujo retorno poderia ser visto pelo grupo. |
| Prioridade | Revisar exposição de sessões do WhatsApp Web, reduzir dependência operacional de mensagens encaminhadas ou citadas como prova isolada e validar comunicações sensíveis por canal independente. |
| Artefatos | Parâmetros citados no fluxo incluem participant, fromMe, remote_resource, key_from_me, id e registros locais em msgstore.db. |
| Mitigação | Encerrar sessões Web não reconhecidas, restringir estáções usadas para pareamento, educar usuários sobre respostas citadas manipuláveis e evitar decisões críticas baseadas apenas em capturas ou notificações. |
O caso FakesApp descreve vulnerabilidades de manipulação de mensagens no WhatsApp que afetavam a confiança visual de conversas privadas e de grupos. O ponto central não era a quebra genérica da criptografia de ponta a ponta para ler qualquer conversa de terceiros, mas a possibilidade de trabalhar sobre o tráfego de uma sessão do WhatsApp Web, decriptar estruturas internas, alterar parâmetros usados pela aplicação e recriptar o conteúdo para produzir efeitos enganosos na interface. Em um serviço que, no início de 2018, já reunia mais de 1,5 bilhão de usuários, mais de um bilhão de grupos e dezenas de bilhões de mensagens diárias, a falha tinha relevância porque mexia com a percepção de autoria, contexto e confidencialidade de mensagens já tratadas pelos usuários como confiáveis.
A pesquisa documentou três formas principais de abuso. A primeira permitia simular uma resposta atribuída a outro participante de um grupo, inclusive usando um nome ou número que não pertencia ao grupo. A segunda alterava a aparência de uma resposta em conversa privada ao manipular o parâmetro fromMe, fazendo uma mensagem parecer ter sido enviada pelo correspondente. A terceira criava uma situação em grupo na qual uma mensagem seria vista somente por um destinatário específico, mas a resposta dele poderia ser exposta a todos os membros. Em todos os cenários, o dano técnico confirmado estava na manipulação do contexto apresentado pela aplicação, o que podia sustentar fraude, desinformação, constrangimento indevido ou decisões baseadas em evidência conversacional adulterada.
A exploração descrita dependia da observação do fluxo entre o aplicativo móvel e o WhatsApp Web. A análise identificou o uso de dados em protobuf2, que podiam ser convertidos para uma representação estruturada e examinados em formato equivalente a JSON. A partir dessa visão, campos internos das mensagens ficavam acessíveis para alteração controlada em ambiente de teste. Para iniciar a manipulação, era necessário obter material de sessão do pareamento Web, incluindo chaves pública e privada geradas antes da leitura do QR code e o parâmetro secret enviado pelo telefone durante a associação com a sessão Web. Esse requisito limita o cenário a uma sessão instrumentada ou comprometida, mas ainda assim mostra que a proteção criptográfica do transporte não impedia inconsistências de validação no nível da lógica da mensagem.
No primeiro método, a mensagem original de um grupo era capturada, decriptada e modificada antes de ser reinserida como resposta citada. O campo participant podia ser alterado para representar outro membro ou até uma identidade textual ou número externo ao grupo. Como a mensagem adulterada era apresentada no contexto de uma resposta, o usuário via uma citação com conteúdo e autoria diferentes do evento original. O identificador da mensagem também precisava ser ajustado para não colidir com registro já existente. O risco operacional desse comportamento está na força probatória de uma resposta citada: em muitos fluxos humanos, a citação visual é tratada como prova suficiente de que uma pessoa disse algo, embora o conteúdo exibido pudesse ter sido fabricado nesse modelo.
No segundo método, a manipulação ocorria em conversa privada. O campo fromMe, responsável por indicar se a mensagem partiu do próprio usuário, era modificado antes de a mensagem seguir no fluxo da aplicação. A alteração fazia o conteúdo aparecer como se tivesse sido enviado pela outra parte da conversa. O resultado descrito incluía notificação push e histórico visual coerentes com a falsa origem. Esse cenário é relevante para investigação digital porque demonstra que uma captura de tela isolada, ou uma notificação sem validação externa, poderia representar uma visão manipulada do diálogo. A defesa deve tratar esse tipo de artefato como evidência contextual, não como registro técnico suficiente por si só.
No terceiro método, a pesquisa trabalhou com a base local msgstore.db no Android e com campos usados para controle de mensagens de grupo. A manipulação envolvia direcionar uma mensagem para um participante específico por meio de remote_resource e alterar o estado representado por key_from_me. O efeito descrito era uma mensagem em grupo visível apenas para o alvo, mas capaz de induzir uma resposta cuja visibilidade se tornaria ampla. O problema não era apenas falsificação de texto, e sim assimetria de contexto: o destinatário respondia a uma informação que os demais não tinham visto, enquanto o grupo recebia a resposta sem necessariamente compreender a provocação original.
A superfície de risco estava concentrada em usuários e organizações que dependiam do WhatsApp Web e de grupos para coordenação sensível, negociação, validação de pedidos, tomada de decisão ou registro informal de compromissos. Grupos grandes eram especialmente sensíveis ao primeiro e ao terceiro métodos, porque a quantidade de participantes dificulta a validação manual de autoria e aumenta a chance de uma resposta citada ser aceita sem checagem. Conversas privadas eram o foco do segundo método, em que a confiança na bilateralidade do chat podia ser usada para construir uma narrativa falsa sobre o que a outra pessoa teria dito.
O vetor também dependia de exposição da sessão Web e de capacidade de instrumentar ou manipular o tráfego local associado à sessão. Isso torna estáções compartilhadas, navegadores persistentes, ambientes com extensões não auditadas, máquinas sem controle administrativo e sessões Web esquecidas pontos de atenção. O caso não sustenta afirmar comprometimento remoto universal de contas, execução de código no dispositivo ou vazamento automático de mensagens de todos os usuários. O impacto sustentado pelo contexto é a manipulação de parâmetros de mensagem dentro das condições descritas, com consequência direta na integridade visual e semântica das conversas.
- Conversas em grupo em que respostas citadas são usadas como evidência de autoria ou confirmação.
- Sessões do WhatsApp Web pareadas em máquinas sem controle rígido de navegador, extensões e acesso local.
- Conversas privadas nas quais notificações, capturas de tela ou histórico visual são tratados como prova isolada.
- Ambientes corporativos que usam grupos de mensagem para aprovar pagamentos, negociar acordos ou coordenar ações urgentes.
A detecção direta desse tipo de abuso é difícil quando a investigação se limita à interface do aplicativo, porque a manipulação busca justamente produzir uma conversa visualmente plausível. A abordagem defensiva deve combinar sinais de sessão, análise de endpoint e validação cruzada do fluxo de comunicação. Em estáções usadas para WhatsApp Web, equipes podem revisar sessões ativas, histórico de pareamento, extensões de navegador, ferramentas de interceptação instaladas, certificados locais incomuns e processos que atuem como proxy de tráfego. O objetivo não é procurar apenas uma assinatura específica, mas identificar condições que permitiriam a instrumentação da sessão descrita.
Em dispositivos Android sob investigação autorizada, a existência e o estado de msgstore.db podem ser relevantes para análise forense, desde que preservados com cadeia de custódia apropriada. Alterações em campos como key_from_me, referências a remote_resource e inconsistências entre mensagens citadas, participantes e histórico podem indicar necessidade de validação adicional. Para ambientes corporativos, sinais administrativos também importam: mensagens sensíveis aprovadas fora de fluxo formal, mudanças de decisão baseadas em resposta citada, pedidos urgentes em grupos e disputas sobre autoria devem disparar verificação por canal independente, especialmente quando envolvem pagamento, credenciais, dados pessoais ou execução de tarefa privilegiada.
A telemetria útil inclui eventos do navegador, inventário de extensões, presença de suítes de interceptação em máquinas de usuário, registros de login do sistema operacional, horários de pareamento Web e alterações incomuns no comportamento de notificação. Em vez de publicar ou executar comandos operacionais, a investigação deve preservar imagens forenses, exportações administrativas e evidências de configuração com ferramentas aprovadas pela organização. Se houver suspeita de fraude baseada em mensagem adulterada, a equipe deve correlacionar o horário da conversa com outros canais, registros de aprovação, telefonemas, e-mails, sistemas internos e testemunhos técnicos documentados.
- Sessões do WhatsApp Web desconhecidas, persistentes ou abertas em máquinas compartilhadas.
- Extensões de navegador ou proxies locais capazes de interceptar, depurar ou modificar tráfego de sessão.
- Inconsistências entre autoria exibida, mensagens citadas, participantes reais do grupo e sequência temporal da conversa.
- Notificações ou capturas usadas como prova sem confirmação em logs, sistemas corporativos ou canal alternativo.
- Alterações suspeitas em artefatos locais de mensagens, incluindo referências a
msgstore.dbquando houver análise forense autorizada.
A resposta defensiva deve começar pela redução da exposição de sessões Web. Usuários e administradores devem encerrar sessões não reconhecidas, evitar pareamento em máquinas compartilhadas, manter navegadores e sistemas sob controle de atualização e restringir extensões a itens aprovados. Em organizações, o WhatsApp não deve ser o único mecanismo para aprovar ações sensíveis. Pagamentos, alteração de dados, envio de documentos, criação de contas, redefinição de senha e decisões com impacto operacional precisam passar por fluxo verificável em sistema corporativo, com autenticação, registro de auditoria e confirmação fora do chat quando houver urgência ou divergência.
A mitigação também exige mudança de procedimento. Respostas citadas, mensagens encaminhadas, capturas de tela e notificações devem ser tratadas como artefatos frágeis quando isolados. Para investigações internas, a validação deve considerar o dispositivo, a sessão Web, a sequência completa da conversa, o contexto do grupo e registros externos. Quando uma mensagem atribuída a alguém gera consequência material, a confirmação deve ser feita por canal independente, preferencialmente com registro formal. Esse controle reduz o valor prático de manipulações baseadas em interface, mesmo quando o usuário final não consegue distinguir visualmente uma citação legítima de uma adulterada.
Equipes de segurança devem incluir esse cenário em conscientização de fraude e resposta a incidentes, com foco em integridade de mensagens e não apenas em phishing tradicional. O treinamento deve explicar que criptografia de transporte e de ponta a ponta não eliminam todos os riscos de manipulação de contexto na camada de aplicação ou na sessão local. Em paralelo, times de DFIR devem preparar procedimentos para coletar evidências de navegador, estado de sessão e artefatos de endpoint sem alterar a prova. O objetivo é conter o abuso, preservar evidências e impedir que uma conversa visualmente convincente substitua controles formais de identidade, autorização e auditoria.
- Encerrar sessões Web desconhecidas e revisar periodicamente dispositivos pareados.
- Bloquear ou controlar extensões de navegador em estáções usadas para comunicação sensível.
- Exigir confirmação por canal independente para decisões baseadas em mensagens de grupo ou conversas privadas.
- Preservar evidências de endpoint e navegador antes de concluir que uma captura ou notificação representa o diálogo real.
- Mover aprovações críticas para sistemas com autenticação, trilha de auditoria e segregação de permissões.
0 Comentários