WhatsApp corrige falha que permitia manipulação de mensagens e roubo de arquivos pelo WhatsApp Web

Deficiências na filtragem de mensagens recebidas deixavam passar comandos que seriam executados pelo navegador. Link falso elaborado por pesquisador de segurança e enviado pelo WhatsApp traz prévia de 'Facebook.com', mas link real leva a um endereço do bit.ly, que aparece apenas no fim da mensagem, após o '@'.

Reprodução/Gal Weizman

O Facebook eliminou vulnerabilidades em mensagens com link no WhatsApp Web, que poderiam manipular o navegador de internet para roubar informações, levar o usuário para um site malicioso ou até instalar um vírus no sistema.

O problema se baseia em códigos executados pelos navegadores e, por essa razão, não atingia o aplicativo do WhatsApp usado em smartphones Android ou iOS. No entanto, o risco era ainda maior no WhatsApp Desktop, que é baseado no WhatsApp Web.

A brecha foi encontrada pelo pesquisador de segurança Gal Weizman. Ele investigava o comportamento do WhatsApp que permite "colocar palavras na boca de outras pessoas" e descobriu que o filtro do WhatsApp apresentava outras deficiências.

Weizman encontrou um meio de adulterar a prévia do link que aparece quando mensagens desse tipo são enviadas pelo WhatsApp, inserindo uma prévia para um site diferente do especificado pelo link. Mas o truque ainda permite a manipulação dos próprios links — inclusive para links que executam códigos diretamente no navegador.

Nesses casos, em vez de levar o usuário para um site como um link comum faz, o "link", ao ser clicado, roda diversos comandos especificados pela pessoa que o enviou.

Falta de atualização no WhatsApp Deskop

Os problemas encontrados por Weizman eram ainda mais graves para os usuários do WhatsApp Desktop. Segundo o especialista, o problema poderia permitir a instalação de vírus e roubo de arquivos do computador.

O WhatsApp Desktop é como um "navegador para um site só" para facilitar o acesso ao WhatsApp Web. O software é criado a partir do Electron, um componente que "transforma" um site em um aplicativo para computador.

Para realizar essa façanha, o Electron usa o Chromium, a mesma base de código do navegador Chrome.

Weizman verificou que a versão do Electron usada pelo Facebook no WhatsApp Desktop estava desatualizada e, por essa razão, o Chromium também estava em uma versão antiga.

Sendo assim, acessar o WhatsApp Web pelo aplicativo Desktop era o equivalente a acessar o WhatsApp Web com um navegador Chrome desatualizado.

Por conta das brechas existentes na versão antiga do navegador, os comandos executados pelos links no WhatsApp Web poderiam assumir o controle total do aplicativo e instalar outros programas no computador ou roubar arquivos locais.

O WhatsApp Desktop foi atualizado para utilizar uma versão mais recente do Electron e, portanto, do Chromium.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]