Pesquisadores de segurança revelaram uma técnica de rastreamento chamada "Silent Whisper", que explora como aplicativos de mensagens populares, como WhatsApp e Signal, lidam com os recibos de entrega.

Essa abordagem permite que atacantes monitorem dispositivos apenas com o número de telefone da vítima, sem precisar enviar mensagens visíveis ou acionar notificações.

Impacto na vida útil da bateria e no uso de dados

A técnica opera abaixo da interface do usuário, tornando sua detecção improvável durante o uso normal do telefone. Testes realizados em diversos smartphones mostraram um consumo de bateria incomum durante as atividades de rastreamento. Em condições normais, celulares inativos geralmente perdem menos de 1% da bateria por hora. Contudo, durante os testes, um iPhone 13 Pro perdeu 14% por hora, um iPhone 11 perdeu 18% e um Samsung Galaxy S23 perdeu 15%.

Quando aplicada ao Signal, a mesma abordagem resultou em uma perda de apenas 1% da bateria por hora devido a limitações mais rigorosas.

O rastreamento contínuo também consome dados móveis e prejudica aplicativos que demandam alta largura de banda, como chamadas de vídeo. O método se baseia em medir os tempos de resposta dos recibos de entrega, que variam de acordo com o estado do telefone, seja ele ativo, inativo, offline, conectado ao Wi-Fi ou utilizando dados móveis.

Respostas rápidas e estáveis podem indicar que o aparelho está em uso ativo em casa, enquanto tempos de resposta mais lentos podem sugerir movimento ou conectividade fraca. Com o tempo, esses padrões podem revelar rotinas diárias, horários de sono e comportamentos de viagem, tudo isso sem acessar o conteúdo das mensagens ou listas de contatos.

Embora pesquisas acadêmicas já tenham descrito essa vulnerabilidade, uma ferramenta de prova de conceito agora demonstra sua viabilidade. Ela permite que os ataques sejam feitos em intervalos tão curtos quanto 50 ms, possibilitando uma observação detalhada sem alertar o alvo.

O desenvolvedor da ferramenta alerta sobre o potencial de uso indevido e enfatiza a intenção de pesquisa, embora o software permaneça acessível a qualquer pessoa. Isso levanta preocupações sobre abusos generalizados, especialmente porque a vulnerabilidade seguirá explorável até dezembro de 2025.

Desativar os recibos de leitura pode reduzir a exposição em mensagens padrão, mas não bloqueia totalmente essa técnica. O WhatsApp oferece uma opção para bloquear mensagens de alto volume de contas desconhecidas, embora a plataforma não defina limites de aplicação. O Signal disponibiliza controles adicionais, mas pesquisadores confirmaram que o rastreamento ainda é possível.

Softwares antivírus tradicionais não detectam o uso indevido em nível de protocolo. Serviços que se apresentam como proteção contra roubo de identidade ou remoção de malware têm valor limitado quando não há malware instalado no dispositivo. O risco aqui não é tanto sobre roubo de dados, mas sim sobre monitoramento comportamental persistente que os usuários não conseguem observar ou verificar facilmente.