WhatsApp admite falha de segurança grave e explica como evitar

Uma falha de segurança que afeta as versões para desktop de mensageiros criptografados como o WhatsApp e o Telegram foi revelada na quarta-feira (15) pela Check Point, uma empresa de segurança israelense. O problema, que já foi corrigido nos dois mensageiros, se aproveitava de uma vulnerabilidade nativa de webapps para executar comandos no navegador capazes de roubar o acesso à conta e lista de contatos das vítimas quando executassem vídeos.

Para ser explorada, a falha requer que o usuário receba um arquivo contaminado, que normalmente é uma imagem e o execute na versão do mensageiro para computador. No Telegram, havia ainda um requisito extra de que o arquivo fosse aberto em outra aba. Quando isto acontece, um código malicioso inserido no conteúdo é executado, fornecendo o acesso aos dados — no caso, as conversas no app.

Isto é possível devido a um processo chamado validação de dados, que é usado para garantir que um arquivo seja mesmo o que diz ser. A técnica é usada também em sites de bancos ou redes sociais como o Facebook e evita que, por exemplo, o usuário envie um vídeo como se fosse uma foto, validando o tipo do arquivo.

Quando é executada em aplicativos, a validação de dados é um processo controlado e que não aceita a inserção de códigos novos devido à forma como o próprio aplicativo é construído. Já a versão WhatsApp Web, utiliza o Javascript para a mesma função e esta linguagem de programação é versátil e pode ser instruída a rodar novos comandos.

Como corrigir?
Até agora, apenas o WhatsApp e o Telegram foram afetados pela falha, mas ela pode afetar outros tipos de mensageiros com versões para a web — não há informação, ainda, sobre riscos no Skype. Os dois aplicativos afirmam que já corrigiram o problema e a recomendação é de que os usuários apenas reiniciem seus navegadores para garantir que estão usando a versão mais atual.

“Nós construímos o WhatsApp para manter as pessoas e suas informações seguras. Quando a Check Point reportou o problema, nós resolvemos a questão em um dia e lançamos uma atualização para o WhatsApp Web. Para garantir que você está usando a última versão, por favor reinicie seu navegador”, afirmou um porta-voz do WhatsApp.