Apesar de sua criptografia de ponta a ponta, o aplicativo de mensagens instantâneas WhatsApp está vazando IPs de usuários para servidores externos aos do serviço, revelou o youtuber Colin Hardy em um vídeo postado em seu canal (via Mobile Scout).

Como demonstrou Hardy, o problema ocorreria toda vez que um usuário compartilha um link de sites externos dentro de uma janela de chat, um processo que ativa “bots” do Whats para garantir que o domínio é uma página real – o que, na prática, cria aquela janelinha de preview que mostra o título da página e uma imagem.

Para que essa preview seja gerada, no entanto, o site do link registra uma requisição por aquele conteúdo. E é exatamente aí que ocorre o problema no caso do WhatsApp.

Para dar um exemplo do que acontece, vamos supor que você compartilhe um link de uma notícia qualquer com seus amigos.

Em um serviço como o Facebook Messenger, o Facebook criaria a “preview” daquela notícia e retornaria a informação de seus próprios servidores para o site original do link– ou seja, o site da notícia conseguira apenas entender que um IP dos servidores do Facebook fizeram uma requisição.

No caso do WhatsApp, a lógica é outra: junto com a informação da requisição enviada ao site do link da matéria, o aplicativo envia o IP do usuário que compartilhou o link, o que permitiria ao site registrar o endereço e horário de compartilhamento.

Apesar de não ser considerada uma ameaça grave de segurança, o ideal em um cenário de criptografia total seria que o WhatsApp devolvesse a requisição com um IP de seu próprio servidor, não com o IP do usuário.

The Enemy já entrou em contato com a empresa para obter seu posicionamento sobre o caso e atualizará à nota assim que receber uma resposta.