Deficiências na filtragem de mensagens recebidas deixavam passar comandos que seriam executados pelo navegador. Link falso elaborado por pesquisador de segurança e enviado pelo WhatsApp traz prévia de 'Facebook.com', mas link real leva a um endereço do bit.ly, que aparece apenas no fim da mensagem, após o '@'. Reprodução/Gal WeizmanO Facebook eliminou vulnerabilidades em mensagens com link no WhatsApp Web, que poderiam manipular o navegador de internet para roubar informações, levar o usuário para um site malicioso ou até instalar um vírus no sistema.O problema se baseia em códigos executados pelos navegadores e, por essa razão, não atingia o aplicativo do WhatsApp usado em smartphones Android ou iOS. No entanto, o risco era ainda maior no WhatsApp Desktop, que é baseado no WhatsApp Web.A brecha foi encontrada pelo pesquisador de segurança Gal Weizman. Ele investigava o comportamento do WhatsApp que permite "colocar palavras na boca de outras pessoas" e descobriu que o filtro do WhatsApp apresentava outras deficiências.Weizman encontrou um meio de adulterar a prévia do link que aparece quando mensagens desse tipo são enviadas pelo WhatsApp, inserindo uma prévia para um site diferente do especificado pelo link. Mas o truque ainda permite a manipulação dos próprios links — inclusive para links que executam códigos diretamente no navegador.Nesses casos, em vez de levar o usuário para um site como um link comum faz, o "link", ao ser clicado, roda diversos comandos especificados pela pessoa que o enviou.Falta de atualização no WhatsApp DeskopOs problemas encontrados por Weizman eram ainda mais graves para os usuários do WhatsApp Desktop. Segundo o especialista, o problema poderia permitir a instalação de vírus e roubo de arquivos do computador.O WhatsApp Desktop é como um "navegador para um site só" para facilitar o acesso ao WhatsApp Web. O software é criado a partir do Electron, um componente que "transforma" um site em um aplicativo para computador. Para realizar essa façanha, o Electron usa o Chromium, a mesma base de código do navegador Chrome.Weizman verificou que a versão do Electron usada pelo Facebook no WhatsApp Desktop estava desatualizada e, por essa razão, o Chromium também estava em uma versão antiga. Sendo assim, acessar o WhatsApp Web pelo aplicativo Desktop era o equivalente a acessar o WhatsApp Web com um navegador Chrome desatualizado.Por conta das brechas existentes na versão antiga do navegador, os comandos executados pelos links no WhatsApp Web poderiam assumir o controle total do aplicativo e instalar outros programas no computador ou roubar arquivos locais.O WhatsApp Desktop foi atualizado para utilizar uma versão mais recente do Electron e, portanto, do Chromium.Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
G1