WhatsApp corrige brecha de acesso a arquivos do usuário

Paulo Brito
06/02/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Falha estava no WhatsApp Web, versão de acesso ao aplicativo via desktop. Ela permitiria que um invasor remoto lesse arquivos da área de trabalho do usuário

Uma falha de segurança nas versões para web do WhatsApp foi descoberta pelo pesquisador de segurança e especialista em Javascript Gal Weizman. As falhas descobertas teriam permitido a leitura remota de arquivos da área de trabalho de um usuário, por meio de um link criado como mensagem. O Facebook reconheceu a vulnerabilidade de segurança e publicou uma correção para ela.

Weizman publicou um post no site da empresa onde trabalha, a israelense Perimeter, explicando como seria possível fazer esse ataque. A falha foi publicada na base de vulnerabilidades do NIST com o registro CVE-2019-18426 e uma nota de risco de 8.2.

A falha é de cross site scripting, e está presente nas versões do WhatsApp Desktop anteriores à 0.3.9309, quando utilizadas com as versões do WhatsApp para iPhone anteriores à 2.20.10. A vulnerabilidade exigia apenas que a vítima clicasse num link enviado dentro de uma mensagem.

Uma nota do WhatsApp sobre o assunto declara que “trabalhamos regularmente com os principais pesquisadores de segurança para estar à frente de possíveis ameaças aos nossos usuários. Nesse caso, corrigimos um problema que, em teoria, poderia afetar os usuários do iPhone que clicassem num link malicioso enquanto usavam o WhatsApp em sua área de trabalho. O bug foi prontamente corrigido em meados de dezembro. ”

Weizman, em seu blog, contou como consegiu fazer o ataque, contornar a Política de Segurança de Conteúdo (CSP) e ler material do sistema de arquivos local, tanto no Windows quanto do Mac. Um ataque de XSS (cross site scripting) permite que um invasor remoto execute código malicioso dentro do navegador do usuário e acesse seus dados.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest