A falha de segurança na aplicação WhatsApp veio mostrar mais uma vez a necessidade de haver mecanismos fortes de autenticação, não apenas na transmissão dos dados entre os equipamentos e os serviço, mas também a criação das cifras e das chaves de cifra.
Esta falha era simples de implementar e de usar, bastando para isso ter acesso a alguns dados do utilizador. Como resultado dessa falha descoberta surge agora um serviço, fora da esfera do WhatsApp, e que permitem que o usem como cliente Web.
Depois de mostrada a vulnerabilidade com o WhatsApp, em que o processo de autenticação do utilizador é feito com recurso a uma simples hash MD5 do IMEI, no caso do Android ou do MacAddress da interface Wifi, no caso do iOS, depressa se começou a pensar em forma de explorar esta vulnerabilidade.
A vulnerabilidade mostrava ainda a forma simples como poderíamos trocar mensagens com o servidor do WhatsApp e assim enviar e receber mensagens nesse serviço.
Rapidamente foi criada uma implementação em Python da API do WhatsApp e que permitia mostrar a vulnerabilidade.
Com o continuar dos desenvolvimentos e porque estava publico no GitHub, houve outros outro programadores que a converteram para JavaScript, PHP e também para Node.js.
É precisamente esta última que alimenta o serviço que estamos a apresentar, o WhatsApp Web Client.
Para o usarem basta que acedam ao endereço do WhatsApp Web Client, que coloquem os dados pedidos – número de telefone, IMEI ou MacAddress da interface Wifi e o nome de utilizador.
Podem escolher memorizar ou não os dados que colocara antes, para que em utilizações posteriores estes estejam já preenchidos.
Depois de enviados os dados ficam com acesso à possibilidade de enviar e receber mensagens no serviço WhatsApp.
Basta que indiquem o número de telefone que pretendem contactar e depois ficam prontos a enviar mensagens. Da mesma forma, qualquer utilizador que pretenda comunicar convosco só tem de usar a aplicação WhatsApp num dispositivo móvel, ou recorrendo ao WhatsApp Web Client para que conversem.
O WhatsApp Web Client não permite no entanto que criem novas contas no WhatsApp pois requer que forneçam o IMEI ou o MacAddress da interface Wifi para que estas sejam geradas.
É ainda importante que desactivem a aplicação no vosso dispositivo móvel pois o WhatsApp apenas permite uma ligação aos seus serviços. O WhatsApp Web Client tem ainda a particularidade de não conseguir aceder às mensagens guardadas no vosso equipamento e nem de as transferir para estes as que trocarem neste serviço.
É claro que o WhatsApp Web Client é um cliente para o WhatsApp não oficial e devem por isso usá-lo por vossa conta e risco. Os seus criadores indicam que não guardam ou recolhe os vossos dados, mas devem sempre ter uma cautela adicional nestes casos.
Se preferirem podem ter uma versão vossa deste WebClient. Podem por exemplo usar este que está disponível no GitHub e que é extremamente simples de colocar em funcionamento.
Desta vez a descoberta de uma vulnerabilidade ou de uma componente fraca num sistema deu origem a um serviço que não era disponibilizado. Passamos a poder ter um cliente do WhatsApp para podermos usar em qualquer lado.
