Se você costuma utilizar bastante a versão do WhatsApp para desktop, é bom ficar esperto. O Facebook emitiu um aviso alertando sobre uma falha na ferramenta que permitia que um hacker pudesse realizar ataques de script entre sites para visualizar arquivos em computadores com MacOS ou Windows utilizando uma mensagem personalizada. Assim, o invasor era capaz de obter o conteúdo de arquivos do computador na outra extremidade de uma mensagem de texto, conforme relata o Ars Technica.

Felizmente, as versões vulneráveis do WhatsApp para desktop são aquelas que foram desenvolvidas com base em um mecanismo ultrapassado do Google Chrome. As versões mais recentes do Chromium são capazes de identificar o código malicioso que permitia essas violações. Segundo o Facebook, os usuários que podem ser afetados são aqueles que possuem a versão 0.3.9309, ou anterior, do WhatsApp para desktop.

A falha foi descoberta pelo pesquisador Gal Weizman, da PerimeterX, e se deve a uma vulnerabilidade relacionada à estrutura de software da Electron, que já é conhecida por outros problemas de segurança. Basicamente, ela permite criar aplicativos em diferentes plataformas com base em tecnologias da web e do navegador, mas isso compromete a segurança dessas ferramentas.

A descoberta não é recente, no entanto. A primeira vez que Weizman se deparou com isso foi em 2017, quando percebeu que ele poderia adulterar metadados das mensagens, criar banners falsos com links e criar URLs disfarçadas em mensagens do WhatsApp.

Porém, mais grave ainda, foi quando ele descobriu que poderia inserir um código JavaScript em mensagens que seriam executadas no WhatsApp para destktop e, a partir daí, conseguir acessar os arquivos locais por meio do JavaScript Fetch API.

O Facebook informou que já liberou novas versões do WhatsApp para desktop que utilizam componentes de navegador mais atualizados.

[Ars Technica]