Falha 'Careless Whisper' expõe atividade de usuários no WhatsApp e Signal
Introdução
Pesquisadores descreveram uma falha de privacidade batizada de "Careless Whisper" que permite a atacantes monitorar o comportamento de usuários no WhatsApp e no Signal usando recibos de entrega silenciosos e sem disparar alertas.
Descoberta e escopo / O que mudou agora
O relatório indica que ações aparentemente inofensivas — reações a conteúdos inexistentes, remoção de reações, edições que expiram ou deleções inválidas — acionam respostas de ida e volta (RTT) dos clientes. Essas respostas revelam estados do dispositivo (tela ligada/desligada, app em foreground etc.) apenas a partir de um número de telefone. Segundo os autores, o problema atinge mais de três bilhões de usuários do WhatsApp e milhões de clientes do Signal.
Vetor e exploração / Mitigações
O vetor é baseado em mensagens ou eventos que não notificam o usuário, mas que ainda provocam receipts técnicos de entrega em cada cliente associado (incluindo clientes companion como web/desktop). Em testes reais, pesquisadores conseguiram diferenciar estados como:
- RTT ~1s quando a tela está ligada;
- RTT ~2s quando a tela está desligada;
- RTT ~300ms em iPhones com app em foreground.
Multi-dispositivo agrava a exposição: clientes companion respondem de forma independente, ampliando a superfície de fingerprinting e permitindo, por exemplo, detectar inicialização de um desktop ou sincronização de laptop.
As recomendações técnicas dos autores incluem restringir geração de receipts a contatos conhecidos, introduzir ruído nas medições de RTT, validar client-side a existência e o ID de mensagens antes de responder e aplicar limites de taxa no servidor. Como medida de mitigação local, usuários podem restringir quem envia mensagens e reações a desconhecidos nas configurações de privacidade.
Impacto e alcance / Setores afetados
O impacto é essencialmente de privacidade e pode ser explorado para vigilância de rotina, inferência de horários de trabalho, presença em local físico e outros padrões comportamentais. Em testes, pesquisadores acompanharam transições Wi‑Fi/LTE, chamadas e sincronizações de laptop em um aparelho Xiaomi. Além disso, ataques de alto volume (reactions oversized) podem inflar tráfego — 3,7MB/s ou ~13GB/h segundo o estudo — e drenar bateria (estimativa de 14–18%/hora em iPhones/Samsung em cenário de blasts contínuos).
Limites das informações / O que falta saber
O relatório cita que a vulnerabilidade foi reportada a fornecedores em setembro de 2024; Meta respondeu que houve triagem, mas sem distribuição de patch público após 14 meses, e o Signal não teria respondido às descobertas conforme os autores. Não há confirmação pública de correções generalizadas — isso mantém incerteza sobre quais versões/implementações já mitigaram o problema.
Repercussão / Próximos passos
Do ponto de vista operacional, a falha exige que equipes de segurança de organizações que dependem de mensageiros avaliem risco de exposição de funcionários-chave e a possível utilização do vetor para engenharia social ou reconhecimento prévio a ataques mais amplos. Fornecedores precisam considerar mudanças de protocolo (evitar receipts expondo RTT) e proteção por padrão contra pings silenciosos vindos de números não verificados.
Observações finais
As recomendações práticas imediatas são: revisar configurações de privacidade, exigir restrição de interações com desconhecidos e acompanhar avisos oficiais de Meta e Signal. O estudo apresenta evidências concretas de impacto, mas falta um panorama claro de quais clientes já foram corrigidos.