Contul tău de WhatsApp, mai vulnerabil decât crezi. Cum îți pot fi furate conversațiile, contactele și întregul cont

WhatsApp are criptare end to end și, în mod normal, asta îți dă sentimentul că mesajele sunt „în siguranță” indiferent ce se întâmplă în jur. Problema este că o parte din atacuri nu încearcă să spargă criptarea din rețea, ci să se așeze exact acolo unde mesajele există deja în clar: pe dispozitivul tău sau într-o aplicație care se autentifică în numele tău.

Exact aici intră în joc un incident recent din zona dezvoltatorilor: un pachet malițios din ecosistemul npm (Node Package Manager) care se prezenta drept o bibliotecă WhatsApp Web API funcțională. A fost descris ca deosebit de periculos tocmai fiindcă „mergea”, adică îți permitea să trimiți și să primești mesaje, în timp ce în fundal îți copia credențialele, contactele, media și conversațiile, ajungând inclusiv la compromiterea contului.

Cum ajunge contul să fie compromis: capcana din „bibliotecile WhatsApp” și lanțul de aprovizionare software

Atacul descris pornește dintr-o zonă mai puțin vizibilă pentru utilizatorul obișnuit, dar extrem de comună pentru firme și proiecte: automatizarea WhatsApp prin biblioteci neoficiale bazate pe WhatsApp Web. Pachetul malițios (numit lotusbail) se masca drept o bibliotecă de tip WhatsApp Web API și era construit ca un fork după o bibliotecă legitimă, @whiskeysockets/baileys, care folosește protocolul WhatsApp Web prin WebSocket.

Tehnic, ideea e simplă: dacă o aplicație se conectează la WhatsApp ca „dispozitiv asociat” (companion device), ea vede mesajele înainte să fie trimise și după ce sunt primite, în contextul local al clientului. Asta înseamnă că un cod rău intenționat nu trebuie să spargă criptarea în tranzit, ci doar să intercepteze ce trece prin conexiunea WebSocket a bibliotecii. Raportul Koi Security și relatarea The Register descriu exact mecanismul: un „wrapper” peste WebSocket care capturează tokenuri de autentificare, mesaje, liste de contacte și fișiere media, apoi pregătește datele pentru exfiltrare către un server controlat de atacatori.

Partea care face incidentul mai grav decât un simplu furt de date este deturnarea contului prin procesul de asociere a dispozitivelor. Practic, atacatorul poate lega propriul dispozitiv la contul victimei folosind mecanismul de pairing, iar accesul poate rămâne activ chiar dacă dezinstalezi pachetul malițios din proiect. Asta schimbă complet „modelul” de risc: nu mai vorbim doar despre ce s-a furat ieri, ci despre o breșă persistentă care îți permite să fii supravegheat și mâine, până când rupi manual legătura dintre dispozitive.

Ce poți face concret: măsuri simple pentru utilizatori și pași practici pentru dezvoltatori

Dacă ești utilizator obișnuit, vestea bună este că scenariul descris țintește în special medii de dezvoltare și servicii care automatizează WhatsApp prin biblioteci neoficiale. Totuși, principiul din spate rămâne relevant: cine reușește să-ți adauge un dispozitiv asociat are o cale directă spre conversațiile tale. De aceea, verifică periodic lista de dispozitive conectate în WhatsApp (Linked devices/Dispozitive conectate) și elimină imediat orice sesiune pe care nu o recunoști. Dacă ai suspiciuni, schimbă rapid măsurile de protecție: activează verificarea în doi pași (PIN) din setările WhatsApp și revizuiește backup-urile, ținând cont că un atacator cu acces la cont poate schimba dinamica de recuperare. Contextul lotusbail arată că „dezinstalarea” unei componente nu e suficientă dacă dispozitivul atacatorului a rămas asociat.

Dacă ești dezvoltator sau ai folosit vreodată un „WhatsApp API” neoficial, tratează incidentul ca pe o lecție despre supply chain. Primul pas este igiena la dependințe: verifică atent numele pachetului, publisher-ul, istoricul, repository-ul și diferențele față de proiectul legitim. Pachetele malițioase pot avea mii de descărcări și pot funcționa perfect, tocmai ca să nu ridice suspiciuni.  Apoi, rulează scanări de securitate în pipeline, blochează versiunile în lockfile, folosește verificări de integritate și evită să execuți cod nou în medii care au acces la conturi reale de WhatsApp fără un audit minimal.

În cazul în care ai instalat deja un pachet suspect într-un proiect care se autentifica în WhatsApp, tratează situația ca pe o compromitere completă. Oprește instanța, rotește orice secrete expuse și presupune că tokenurile, mesajele și contactele au fost copiate. În paralel, pe contul WhatsApp, elimină toate dispozitivele asociate pe care nu le controlezi și refă asocierea doar după ce ai curățat mediul. Incidentul descris de Koi Security include și tehnici de ofuscare și criptare a datelor exfiltrate, un semn că autorii au urmărit să reziste analizelor și să rămână nedetectați cât mai mult timp, conform The Register.