O WhatsApp é uma das ferramentas de comunicação mais utilizada, tanto para comunicação pessoal, como profissional. Assim, a empresa por trás da app lançou uma correção para iOS que vem acabar com um problema na confirmação em dois passos.
Esta verificação é uma importante camada de segurança do WhatsApp e, há um ano, um utilizador descobriu que a plataforma de mensagens armazenava o código desta etapa de validação num ficheiro dentro do diretório privado do software nalgumas versões para iOS. Um comportamento incentivador para os hackers.
O WhatsApp cada vez é mais usado para as trocas de informações ao nível pessoal, privada e até ao nível empresarial, com dados muito mais sensíveis. Assim, como temos já dado a conhecer, existem esquemas que tiram proveito quer de eventuais problemas na plataforma, quer de falhas comportamentais dos próprios utilizadores.
Ativar a confirmação em dois passos
Um recurso importante que deve ser ativado em cada conta é a confirmação em dois passos. Este é mais um passo que atribuiu ao utilizador uma segurança extra. Após ativar a confirmação em dois passos, o utilizador poderá adicionar o seu endereço de e-mail.
Isto permite que o WhatsApp envie um link para que a pessoa possa redefinir o seu PIN, conseguindo assim ter a conta muito mais segura.
Milhões de pessoas ainda não têm este recuso e é muito fácil de o ativar. Deixamos aqui um guia que pode usar para ativar já esta opção extra de segurança.
WhatsApp lança correção de segurança
Este sistema opcional, mas importante que lhe garante mais segurança tinha um grave problema, na versão para iOS. Segundo um utilizador, o próprio WhatsApp armazenava este código dentro de um diretório privado nalgumas versões do iOS.
Este comportamento poderia ser um incentivo para que uma falha na segurança permitisse aos hackers o acesso a este código e, por sua vez, o controlo da própria conta do WhatsApp nos dispositivos da Apple.
Agora, para assegurar que esta vulnerabilidade não continua disponível, o software sofreu uma melhoria que está disponível, para já, na versão beta 2.21.80 na app para iOS.
Segundo as informações publicadas pelo site WABetaInfo, o código da confirmação em dois passos ficava armazenado num texto simples, ou seja, não criptografado. Importa realçar que seria necessária uma segunda combinação gerada e recebida por SMS, o que dificultaria ações dos hackers. Apesar disso, esta falha estava lá presente.
O que há de novo nesta versão?
Esta nova versão veio melhorar a forma como este código é guardado. Isto é, a Apple tem um sistema próprio para guardar as palavras-passe. Como tal, em vez da informação da app ficar na área interna de testes, uma sandbox, agora foi deslocada para o Keychain. Aqui fica todo o material sensível que o iOS guarda no que toca a palavras-passe e não só.
Portanto, a atualização já está disponível para quem tem instalada a versão WhatsApp beta 2.21.80 para iOS. A versão final para todos deve chegar em breve.
Se tem um Android, o sistema de armazenamento feito pelo Facebook é diferente e não apresenta esta falha.