WhatsApp, falha grave de segurança na versão desktop: como se proteger

Facebook emitiu um aviso para um falha de segurança no WhatsApp Desktop que pode permitir que um invasor aproveite a tĂ©cnica de script entre sites para acessar arquivos em sistemas de desktop / notebook Mac ou Windows usando uma mensagem especialmente construĂ­da. O invasor pode, dessa forma, conseguir recuperar o conteĂșdo dos arquivos no computador do usuĂĄrio que estĂĄ do outro lado do canal de comunicação e para quem a mensagem Ă© enviada e, potencialmente, executar outras açÔes ilegais.

A falha foi descoberta pelo pesquisador de segurança da PerimeterX, Gal Weizman, e o resultado de uma vulnerabilidade na maneira como a implementação da årea de trabalho do Whatsapp foi realizada usando o Estrutura eletrÎnica, que jå havia mostrado alguns problemas de segurança no passado. O Electron é uma ferramenta que os desenvolvedores podem usar para criar facilmente aplicativos de plataforma cruzada com base nas tecnologias da Web e do navegador, mas obviamente tão seguros quanto os componentes que os desenvolvedores configuram nos aplicativos que estão construindo com essa estrutura.

Weizman identificou pela primeira vez as vulnerabilidades de script entre sites do WhatsApp em 2017, quando descobriu a possibilidade de adulterar metadadas de mensagens, criando banners de visualização falsos a partir de links para påginas da web e criando URLs capazes de ofuscar uma intenção hostil nas mensagens do WhatsApp. O pesquisador continuou sua investigação no cliente Whatsapp, descobrindo que ele poderia injetar código JavaScript nas mensagens, código que seria executado posteriormente no WhatsApp Desktop para obtendo acesso ao sistema de arquivos local usando a API de busca do JavaScript.

Tudo foi possĂ­vel porque as versĂ”es vulnerĂĄveis ​​do WhatsApp Desktop foram desenvolvidas usando uma versĂŁo antiga, conhecida por algumas vulnerabilidades, do mecanismo do navegador Google, Chrome. As versĂ”es mais recentes do Chromium detectam e neutralizam cĂłdigos maliciosos.

A vulnerabilidade afeta as versÔes do WhatsApp Desktop a partir de 0.3.9309 e anteriores, combinadas com o aplicativo para iPhone da versão 2.20.10 e anterior.O Facebook lançou novas versÔes do WhatsApp Desktop que usam o componente atualizado do navegador.

“Trabalhamos regularmente com os principais pesquisadores de segurança cibernĂ©tica para detectar ameaças potenciais aos nossos usuĂĄrios com antecedĂȘncia. Nesse caso, resolvemos um problema que teoricamente poderia afetar os usuĂĄrios do iPhone que clicavam em um link malicioso. enquanto eles usavam o WhatsApp na ĂĄrea de trabalho. O bug foi resolvido rapidamente por meio de uma atualização implementada em meados de dezembro ” posição oficial expressa pelo WhatsApp atravĂ©s de um porta-voz “.