_Cibersegurança

Pesquisadores descobriram como invadir qualquer conta do WhatsApp

Uma consultoria de segurança digital descobriu uma grave brecha no sistema web do WhatsApp e Telegram. A vulnerabilidade, no entanto, já foi corrigida

Pesquisadores especialistas em segurança anunciaram a descoberta de grandes vulnerabilidades no WhatsApp e Telegram, dois populares aplicativos de mensagens com criptografia de ponta-a-ponta, quando utilizados em navegadores web.

• As diversas tecnologias já usadas para interceptar todos os tipos de comunicação
• Pesquisa mostra que os brasileiros se preocupam (um pouco) com privacidade no WhatsApp

Uma equipe da consultoria de segurança digital Check Point divulgaram os detalhes da vulnerabilidade, que permite que um hacker envie uma única imagem, com um malware incorporado, por meio de um navegador web e tome controle total da conta do receptor.

Para ser mais específico, o hacker poderia enviar uma mensagem para qualquer usuário e anexar um documento HTML malicioso e então enviar uma foto como imagem de pré-visualização. O usuário pensava que estava abrindo um arquivo de imagem, mas na verdade estava baixando um malware que dava ao hacker as chaves para sua conta. Ironicamente, a medida de segurança que torna esses aplicativos tão populares é o que leva a essa vulnerabilidade.

“Pelo fato das mensagens serem criptografadas sem serem validadas primeiro, o WhatsApp e Telegram ficam cegos aos conteúdo, e deste modo não conseguem prevenir que o conteúdo malicioso seja enviado”, explicam os pesquisadores da Check Point num post. Tanto o WhatsApp quanto o Telegram confirmaram a brecha e apresentaram correções. As empresas afirmam que não parece que exista alguma evidência de que alguém explorou essa vulnerabilidade antes da Check Point reportá-la, mas essa é a afirmação padrão que as companhias costumam fazer nessas circunstâncias.

O WhatsApp ganhou uma versão web em 2015 e essa vulnerabilidade estava presente desde o primeiro dia. Quando os serviços funcionam na World Wild Web, as coisas ficam mais complicadas. Deve ser por isso que a Open Whisper Systems não oferece uma versão web do aclamado app Signal, considerado um dos mais seguros.

Mas não entre em pânico ainda. Como dissemos, o WhatsApp e Telegram já corrigiram a brecha, embora ainda não esteja claro se vulnerabilidades similares existem em outros serviços de mensagens baseados em plataformas web. No final das contas, você pode levar em consideração que nenhum software está a salvo de invasões.

[Check Point]

Imagem do topo: WhatsApp / Gizmodo

Sair da versão mobile