Pesquisadores de segurança identificaram uma falha no WhatsApp e no Signal que permite que terceiros rastreem a atividade dos usuários quase em tempo real. O problema está ligado à forma como ambos os serviços de mensagens lidam com recibos de entrega, que confirmam que uma mensagem chegou a um dispositivo. Ao enviar mensagens repetidamente e medir o tempo de resposta, um observador pode determinar se um alvo está online, offline ou usando ativamente seu telefone. O processo não aciona notificações, deixando os usuários sem saber que o monitoramento está sendo realizado.
Pesquisadores disseram que a técnica depende da análise de pequenas variações nos tempos de resposta da rede. Essas diferenças podem revelar quando um dispositivo se conecta ou desconecta da rede e quando um usuário se torna ativo após um período de inatividade. Como os recibos de entrega são parte central do processo de mensagem, os usuários não podem desativá-los por meio das configurações padrão de privacidade. Isso torna o comportamento difícil de bloquear sem alterações no sistema subjacente usado pelos aplicativos.
Além de revelar padrões de atividade, o método pode ser usado para drenar recursos do dispositivo. A sondagem de alta frequência aumenta o uso de dados em segundo plano e o consumo de bateria. Com o tempo, isso pode reduzir a duração da bateria e afetar o desempenho do dispositivo mesmo quando o usuário não está ativamente interagindo com os aplicativos. Pesquisadores observaram que esse aspecto da falha aumenta seu impacto potencial porque combina exposição à privacidade com esgotamento de recursos.
O problema afeta tanto o WhatsApp quanto o Signal porque eles compartilham escolhas de design semelhantes na forma como os reconhecimentos de entrega são gerenciados. Os recibos de entrega diferem dos recibos de leitura, que indicam se uma mensagem foi aberta e geralmente podem ser desativados pelos usuários. Os recibos de entrega confirmam o recebimento em nível técnico e permanecem ativos por padrão. Pesquisadores disseram que essa escolha de design expõe involuntariamente informações de temporização que podem ser exploradas.
Especialistas em segurança disseram que a falha destaca desafios mais amplos na proteção da privacidade dos usuários em plataformas de mensagens de grande escala. Recursos projetados para melhorar a confiabilidade também podem criar canais paralelos que revelam dados comportamentais. Limitar o contato de números desconhecidos pode reduzir a exposição, mas não resolve totalmente o problema subjacente. Desativar recibos de leitura não oferece proteção contra esse tipo de rastreamento.
Pesquisadores disseram que resolver o problema provavelmente exigiria mudanças na forma como os reconhecimentos de entrega são tratados em nível de protocolo. Até que tais mudanças sejam feitas, usuários preocupados com o rastreamento devem estar cientes de que seu status online e padrões de atividade podem ser deduzidos sem acesso direto às suas contas. A constatação ressalta a complexidade de equilibrar funcionalidade e privacidade em serviços de comunicação amplamente utilizados.