Furo de segurança no WhatsApp para web permitia o sequestro de contas

IDG News Service
15/03/2017 - 13h23
Mesma brecha foi identificada para o Telegram. Companhias foram informadas sobre vulnerabilidade e já corrigiram problema de segurança

Uma vulnerabilidade - já corrigida - nas versões para a web do WhatsApp e Telegram teria permitido que invasores assumissem contas enviando arquivos maliciosos aos usuários, mascarados como imagens ou vídeos.

A vulnerabilidade foi descoberta na semana passada por pesquisadores da Check Point Software Technologies e foi corrigida pelos desenvolvedores do WhatsApp e Telegram depois que a empresa compartilhou privadamente os detalhes da falha com eles.

As versões baseadas na Web do WhatsApp e Telegram sincronizam automaticamente com os aplicativos instalados nos telefones dos usuários. Pelo menos no caso do WhatsApp, uma vez emparelhado usando um código QR, o telefone precisa ter uma conexão ativa com a Internet para as mensagens do WhatsApp serem retransmitidas para o navegador no computador.

Ambos os aplicativos para a Web permitem aos usuários fazer o upload de certos tipos de arquivos, como imagens e vídeos, e têm mecanismos de verificação para garantir que apenas esses tipos de arquivo sejam usados. No entanto, os pesquisadores da Check Point encontraram uma maneira de ignorar essas verificações e, com isso, carregar arquivos HTML. Além disso, eles poderiam fazer esses arquivos imitar imagens e vídeos, tornando-os menos suspeitos e mais atraentes para os usuário abrirem.
 
Como qualquer código HTML, executado no contexto desses aplicativos, ele herdaria suas permissões dentro do navegador, algo que permitiria aos invasores usar essa técnica para roubar o conteúdo de armazenamento local desses aplicativos e enviá-los para um servidor remoto. Se colocado nos navegadores dos hackers, o conteúdo poderia permitir que eles se autenticassem como os usuários segmentados.
 
Isso significa que os invasores poderiam ter obtido acesso às histórias de mensagens das vítimas e arquivos compartilhados e poderiam até mesmo ter enviado mensagens em seu nome, comprometendo potencialmente seus contatos em um ataque.
 
O Check Point informou a vulnerabilidade a ambas as empresas no dia 8 de março. Como o código dos aplicativos da Web é carregado diretamente dos servidores WhatsApp e Telegram, os usuários não precisam fazer nada para obter o patch.