Um problema crítico de segurança foi descoberto no cliente de desktop do WhatsApp que pode permitir que hackers remotos acessem seus arquivos de desktop em Windows ou computador Mac quando emparelhado com um iPhone. No entanto, a vulnerabilidade foi corrigida pela empresa-mãe do serviço de mensagens, Facebook.
Descoberta pelo pesquisador de segurança cibernética da PerimeterX, Gal Weizman, a vulnerabilidade apelidada de ‘CVE-2019-18426’ residia no WhatsApp Web, que também alimenta seus aplicativos multiplataforma baseados em Electron para sistemas operacionais de desktop.
Leia também – WhatsApp Web: como usar no PC
De acordo com Weizman, a falha pode permitir que hackers insiram códigos JavaScript maliciosos em mensagens e acessem arquivos remotamente por meio do cliente WhatsApp desatualizado.
“Uma vulnerabilidade nas versões do WhatsApp Desktop anteriores a 0.3.9309 quando emparelhado com o WhatsApp para versões do iPhone anteriores a 2.20.10 permite cross-site scripting e leitura de arquivo local. Explorar a vulnerabilidade exige que a vítima clique em um link de visualização de uma mensagem de texto especialmente criada ”, diz a descrição da vulnerabilidade do WhatsApp fornecida no US National Vulnerability Data (NVD).
Em sua postagem no blog, Weizman mencionou que o WhatsApp Web era vulnerável a uma falha de redirecionamento aberto que poderia ter levado a ataques persistentes de script entre sites acionados pelo envio de mensagens especialmente criadas para usuários alvo do WhatsApp.
Weizman descobriu uma brecha na Política de Segurança de Conteúdo (CSP) do WhatsApp, que basicamente permitia scripts entre sites (XSS) no aplicativo de desktop. Ele foi capaz de ler o sistema de arquivos local de um destinatário enviando uma única mensagem e identificar o potencial de execução remota de código (RCE) no aplicativo de desktop.
A única coisa que o usuário do WhatsApp afetado tinha que fazer era visualizar a mensagem maliciosa no navegador. Isso teria dado acesso backdoor a atacantes remotos para executar código arbitrário no contexto do domínio da web do WhatsApp.
“Por alguma razão, as regras de CSP não eram um problema com o aplicativo baseado em Electron, então buscar uma carga externa usando um recurso JavaScript simples funcionou”, declarou Weizman.
“As regras do CSP são super importantes e poderiam ter evitado grande parte dessa bagunça. Se as regras CSP estivessem bem configuradas, a potência obtida por este XSS teria sido muito menor. Ser capaz de contornar a configuração CSP permite que um invasor roube informações valiosas da vítima, carregue cargas externas facilmente e muito mais. ”
De acordo com Weizman, o WhatsApp não deve usar uma versão mais antiga da plataforma de navegador Chromium do Google para evitar tais falhas.
“As versões mais antigas da estrutura Chromium do Google Chrome, conforme usadas pelas versões vulneráveis do aplicativo WhatsApp para desktop, são suscetíveis a essas injeções de código, embora as versões mais recentes do Google Chrome tenham proteção contra tais modificações de JavaScript. Outros navegadores, como o Safari, ainda estão abertos a essas vulnerabilidades ”, observa PerimeterX.
A vulnerabilidade foi corrigida por Facebook no ano passado, após receber um alerta de Weizman.
Falando sobre a vulnerabilidade, um porta-voz do WhatsApp disse: “Trabalhamos regularmente com os principais pesquisadores de segurança para ficar à frente de possíveis ameaças aos nossos usuários. Nesse caso, corrigimos um problema que, em teoria, poderia ter afetado os usuários do iPhone que clicaram em um link malicioso ao usar o WhatsApp em seus desktops. O bug foi prontamente corrigido e está sendo aplicado desde meados de dezembro. ”
Uma vez que a empresa corrigiu a falha, é recomendado que os usuários atualizem tanto o aplicativo WhatsApp para desktop quanto o aplicativo do telefone em seu dispositivo Android ou iOS para evitar problemas.
