Vulnerabilidade no WhatsApp permitiu mapear 3,5 bilhões de contas
O estudo revelou comportamento global de uso do aplicativo e atingiu países onde ele é proibido.
Pesquisadores da Universidade de Viena e da SBA Research descobriram uma vulnerabilidade no sistema de descoberta de contatos do WhatsApp que permitia a enumeração de 3,5 bilhões de contas em 245 países.
A falha, já corrigida pela Meta, abriu brecha para consultas massivas a números de telefone e exposição de metadados públicos. O estudo foi publicado na terça-feira (18).
Segundo os pesquisadores, era possível consultar mais de 100 milhões de números por hora usando a infraestrutura do próprio WhatsApp.
O comportamento anômalo do sistema chamou atenção da equipe de estudiosos, que conseguiu confirmar contas ativas e extrair informações adicionais, como sistema operacional usado, idade da conta e quantidade de dispositivos conectados.
Veja também
.jpeg?f=4x3&h=141&w=189&$p$f$h$w=35b0ba7)
Contas ativas até em países onde o app é proibido
O levantamento identificou milhões de usuários ativos em países onde o WhatsApp é oficialmente banido, como China, Irã e Mianmar.
Outras tendências globais também chamaram atenção: o predomínio de dispositivos Android (81% contra 19% de iPhones) e diferenças regionais no comportamento de privacidade, como uso de fotos e descrições públicas.
A pesquisa também encontrou ocorrências raras de reutilização de chaves criptográficas em diferentes números ou aparelhos — sinal de possíveis falhas em clientes não oficiais ou uso fraudulento.
Outro ponto sensível: quase metade dos números vazados no incidente do Facebook em 2021 continua ativa no WhatsApp, reforçando o risco contínuo de golpes envolvendo dados expostos.
Nenhuma mensagem foi acessada
Os pesquisadores reforçaram que não tiveram acesso ao conteúdo das conversas, tendo apagado o material após a identificação da falha. A criptografia de ponta a ponta do WhatsApp permaneceu intacta durante todo o processo.
“A proteção cobre o conteúdo, mas não necessariamente os metadados”, explica Aljosha Judmayer, coautor do estudo. Segundo ele, análises massivas desses metadados também podem revelar padrões relevantes.
Gabriel Gegenhuber, autor principal do estudo, reforça que o sistema respondeu a um volume de solicitações que não deveria ser possível. “Foi isso que expôs a falha e nos permitiu mapear contas globalmente”, disse.
Meta corrigiu falha
A Meta afirmou que a vulnerabilidade foi corrigida com novas medidas de proteção, incluindo limites mais rígidos de requisições e ajustes na visibilidade de perfis. A empresa disse não ter encontrado indícios de abuso por agentes maliciosos.
“Essa colaboração identificou com sucesso uma nova técnica de enumeração que ultrapassou nossos limites previstos”, afirmou Nitin Gupta, vice-presidente de Engenharia do WhatsApp. Ele destacou que as mensagens dos usuários permaneceram seguras e que apenas dados já públicos puderam ser consultados.
Estudo será apresentado ano que vem
A pesquisa faz parte de uma série de trabalhos da equipe de Viena sobre privacidade em aplicativos de mensagens. Antes disso, os pesquisadores já haviam revelado fragilidades em recibos silenciosos e no mecanismo de pré-chaves do WhatsApp.
O novo estudo — “Olá! Você está usando o WhatsApp: Enumerando três bilhões de contas para segurança e privacidade” — será apresentado em 2026 no simpósio NDSS, um dos principais eventos internacionais de segurança digital.
Os autores defendem que descobertas desse tipo reforçam a importância de pesquisas independentes e da colaboração com empresas de tecnologia para proteger usuários em escala global.
