Boas novas para quem usa o WhatsApp Web: nesta semana, a Meta (dona do serviço) anunciou o Code Verify, extensão para Chrome, Edge e Firefox que checa se a versão para navegador do mensageiro sofreu adulteração. Essa é uma forma de prevenir espionagem, por exemplo. A parte mais inusitada é esta: a proteção foi desenvolvida em parceria com a Cloudflare.
A própria Meta (outrora, Facebook) admite que o WhatsApp Web não conta com os mesmos controles de segurança existentes nas versões do serviço para Android e iOS.
O Code Verify fará uma comparação de hashes (sequências de caracteres geradas a partir de cálculos matemáticos).
Quando o usuário abre o WhatsApp Web, o Code Verify verifica o hash do código-fonte carregado no navegador e o compara com o hash armazenado nos servidores da Cloudflare; se os hashes forem iguais, está tudo certo; se forem diferentes, alguma adulteração aconteceu (qualquer modificação no código, por menor que seja, gerará um hash diferente).
O Code Verify gera três tipos de avisos: “validado”, “possível risco detectado” e “falha na validação”. Obviamente, os dois últimos indicam que algo está errado.
Importante: em caso de alerta pelo Code Verify, é recomendável não usar o WhatsApp Web até o problema ser conferido.
Esse método funcionará mesmo se o WhatsApp Web for atualizado. Isso porque, ao publicar a versão mais recente de suas bibliotecas JavaScript em seus servidores, o WhatsApp também colocará o hash correspondente no endpoint de auditoria da Cloudflare. Isso é importante porque o WhatsApp Web sempre busca as bibliotecas mais recentes.
É preciso que o Code Verify seja instalado no navegador.