Tendo em conta os inúmeros pedidos que tenho recebido a este respeito, hoje volto a abordar um tema que já abordei várias vezes no passado: como espionar o WhatsApp para Android. Não, não se preocupe, não quero encorajar atividades ilegais como monitorar comunicações eletrônicas. Longe disso. Com o tutorial de hoje quero analisar algumas técnicas adotadas pelos cibercriminosos para capturar nossas conversas no WhatsApp e quero que você descubra todas as "armas" que temos à disposição para nos defendermos.
Felizmente, a situação não é tão dramática quanto alguns querem que pareça. No Android, o WhatsApp usa uma técnica de criptografia nomeada de ponta a ponta que torna as mensagens visíveis apenas para seus respectivos remetentes e destinatários. Os chats chegam de forma criptografada até mesmo nos servidores do serviço e é difícil para um invasor "capturá-los" com atividades como farejar redes sem fio (a menos que haja uma falha na implementação do sistema de criptografia, não podemos saber disso ) Em qualquer caso, é proibido baixar a guarda!
Existem técnicas - se quisermos menos refinadas, mas igualmente muito perigosas - que permitem roubar a identidade de uma pessoa no WhatsApp acessando fisicamente seu smartphone. Vamos ver imediatamente o que são e vamos nos equipar para evitar que alguém os coloque em prática em nossos telefones celulares.
Espiar no WhatsApp Android com o WhatsApp Web
WhatsApp Web, como você certamente sabe, é uma função do WhatsApp que permite acessar o serviço via Web. Funciona em qualquer computador e é compatível com diversos navegadores: Chrome, Firefox, Opera e Safari (com funções limitadas, como eu também explicado para você no meu post sobre WhatsApp para PC).
Usá-lo é muito simples: basta conectar-se ao site web.whatsapp.com, digitalize o código QR que aparece na tela do PC com a câmera do smartphone e pronto. Então, o que há de perigoso nisso tudo?
Os riscos para a nossa privacidade vêm do fato do WhatsApp Web ser capaz de armazenar a identidade do usuário (basta marcar a opção Permaneça conectado para acessar o serviço sem ter que ler o código QR) e o fato de que o smartphone não precisa estar na mesma rede Wi-Fi que o PC. O WhatsApp Web funciona apenas se o smartphone no qual o WhatsApp está instalado estiver ligado e conectado à Internet, mas a conexão pode ser feita através de qualquer rede sem fio ou mesmo através da rede de dados 3G / LTE, os dois aparelhos não precisam ser necessariamente na mesma sala.
Isso significa que um invasor pode roubar seu smartphone com uma desculpa (por exemplo, a necessidade de fazer uma chamada urgente), usá-lo para acessar o WhatsApp Web e manter o acesso às suas conversas por vários dias.
Como se defender: para se defender contra este tipo de ameaças você precisa colocar o bom senso em prática, portanto, por exemplo, você não deve emprestar seu smartphone a estranhos e não deve deixá-lo sem vigilância em locais públicos.
Uma solução eficaz para se defender de pessoas mal-intencionadas é certamente ativar um sistema de proteção em seu dispositivo via reconhecimento biométrico (desbloqueio pelo rosto ou por impressão digital, por exemplo). Neste caso específico, de fato, a fim de confirmar o acesso a WhatsApp Web/Área de Trabalho a autorização do proprietário do dispositivo é necessária. Caso contrário, a conexão com o serviço será negada.
Finalmente, você pode ir para o menu Chat> […]> WhatsApp Web do WhatsApp e verifique todas as sessões da Web do WhatsApp ativas em sua conta. Se você detectar qualquer atividade suspeita, pressione o botão Saia de todos os computadores e todos os PCs conectados à sua conta perderão o acesso (você precisará ler o código QR novamente com seu telefone celular para acessar o WhatsApp Web).
Clonar WhatsApp
Outra das técnicas utilizadas pelos cibercriminosos para espionar WhatsApp para Android é clonar o endereço MAC do telefone da vítima, instalar o WhatsApp e roubar a identidade da pessoa a ser espiada. Este é um procedimento muito elaborado, bastante demorado para ser colocado em prática, mas ainda assim muito perigoso.
O endereço MAC, se você nunca ouviu falar dele, é um código de 12 dígitos que permite identificar de forma única todos os dispositivos capazes de se conectar à Internet. O WhatsApp também o usa, junto com o número do telefone, para verificar a identidade de seus usuários ... e é aqui que os cibercriminosos podem colocar as mãos nele.
Existem aplicativos, como BusyBox é Mac Address Ghost, que permitem disfarçar o endereço MAC de smartphones Android (apenas aqueles enviados anteriormente para o procedimento raiz) fazendo com que se pareça com outro telefone.
Este "truque" pode permitir que um atacante clonar o endereço MAC de um telefone (o smartphone da pessoa a ser espionada), instalar uma nova cópia do WhatsApp, ativá-lo com o número da vítima e assim obter acesso total a todas as suas conversas .
Como se defender: esse tipo de ataque, como o que vimos anteriormente, requer acesso físico ao smartphone da vítima. Isso significa que você pode evitar isso, não deixando seu telefone à mercê de estranhos e aplicando algumas medidas básicas de proteção.
Um deles é certamente ouso de um PIN seguro para evitar o acesso não autorizado ao smartphone (por outro lado, para ver o endereço MAC do telemóvel basta aceder ao menu de definições, não precisa de ser hacker!). Se você ainda não fez isso, defina um PIN seguro em seu Android acessando o menu Configurações> Segurança> Bloqueio de tela e selecionando o item ALFINETE deste último. Alternativamente, você também pode selecionar o item Seqüência e use um gesto (ou seja, um "desenho" a ser feito com o dedo na tela do telefone) em vez do código numérico.
Outro conselho que gostaria de lhe dar é o de proibir a exibição de SMS na tela de bloqueio do Android (desta forma, mesmo o SMS com o código de verificação do WhatsApp não pode ser visualizado por pessoas mal-intencionadas). Para fazer isso, vá para o menu Configurações> Segurança> Bloqueio de tela do Android, defina um ALFINETE ou um Seqüência e escolher esconder conteúdo sensível.
Aplicativos espiões
Como também expliquei para você em meu tutorial sobre como espionar telefones Android, a Google Play Store está cheia de aplicativos para controle dos pais e localização remota de smartphones que, se configurados corretamente, podem permitir que um invasor espione um telefone de um distância, capturando tudo, o que está digitado em seu teclado e o que acontece em sua tela.
Como se defender: até mesmo aplicativos espiões precisam de acesso físico ao telefone para serem instalados, portanto, todos os conselhos que dei a você antes se aplicam. Você também pode tentar acessar o menu Configurações> Aplicativos> Todos do Android e veja se há algum nome "suspeito" entre os aplicativos instalados no telefone.
Infelizmente, a ausência de nomes "suspeitos" nos menus do Android não elimina completamente a dúvida quanto à presença de aplicativos espiões em telefones celulares. Este tipo de aplicativo, na verdade, tem a capacidade de se ocultar de todos os menus do sistema e, para se livrar dele, você deve primeiro desbloqueá-los digitando as senhas apropriadas.
A pessoa espiada, é claro, não conhece essas senhas e pode, portanto, se livrar do aplicativo espião apenas formatando seu dispositivo. Se você tem esse tipo de suspeita, mas não encontrou nomes "estranhos" no menu do Android, tente reiniciar o Android seguindo meu tutorial sobre o assunto e você deverá resolver o problema.
Farejando sem fio
O WhatsApp para Android, conforme afirmado no início deste post, usa um sistema de criptografia de ponta a ponta chamado TextSecure. Este sistema baseia-se na utilização de duas chaves: uma chave pública que é partilhada com o nosso interlocutor e serve para encriptar as mensagens enviadas e uma chave pública que reside apenas no nosso smartphone e permite-nos desencriptar as mensagens recebidas.
Com a criptografia ponta a ponta, o risco associado ao monitoramento de redes sem fio (os chamados cheirar sem fio) é reduzido ao mínimo, pois todas as informações circulam de forma criptografada, mas ... há um mas.
O WhatsApp é um aplicativo de código fechado, não podemos analisar profundamente seu código-fonte e, portanto, não podemos saber se a criptografia é sempre aplicada, se em alguns países é desativada a pedido de governos locais ou se sua implementação foi feita para regra de arte. Nem é preciso dizer que um simples erro no uso dessa tecnologia tornaria o aplicativo vulnerável novamente e diminuiria muito a segurança de nossas conversas.
O primeiro alarme sobre a segurança da criptografia ponta a ponta no WhatsApp veio em abril de 2015, quando uma equipe de pesquisadores alemães descobriu que apenas as comunicações Android> Android eram protegidas com a criptografia TextSecure. Em outras circunstâncias, o aplicativo usava uma tecnologia baseada no algoritmo RC4 que não é mais considerada impenetrável e é muito mais fácil para os criminosos cibernéticos decodificarem.
A situação agora deve ser melhorada. Os desenvolvedores do sistema de criptografia WhatsApp garantiram que a criptografia ponta a ponta chegará gradativamente em todas as plataformas, mas o fator desconhecido permanece quanto à impossibilidade de verificar o código do WhatsApp. Não podemos saber se e quais tipos de comunicação são realmente criptografados. Devemos "confiar".
Como se defender: se a criptografia de ponta a ponta não funcionar, infelizmente, nós, usuários, não podemos fazer nada. O único conselho que gostaria de dar é evitar conexões públicas de Wi-Fi, que são conhecidas por serem o local de caça favorito dos cibercriminosos. De resto, se você não confia no WhatsApp, pare de usá-lo e entre em contato com outro aplicativo de mensagens com criptografia ponta a ponta, possivelmente open source (para ter mais garantias sobre o funcionamento da criptografia).