Brecha no WhatsApp para iOS, macOS e Windows é revelada

Algumas versões do WhatsApp para desktop e iOS têm apresentando uma falha de segurança que permite a invasores realizarem ataques de scripts entre sites e ler arquivos armazenados em máquinas com Windows e macOS. Essa vulnerabilidade foi percebida inicialmente em 2017 por um analista internacional chamado Gal Weizman, o qual notou que a raiz do problema estava na implementação do app a partir de uma estrutura de software da Electron — conhecida por já ter apresentado bugs similares no passado.

Esse framework permite a desenvolvedores a criação de ferramentas para PC de plataforma cruzada, com base em recursos da web e navegadores. Quando aplicado junto de aplicações da Electron, o software gerado fica protegido, contudo, isso nem sempre se estende a soluções externas.

Invasores podem enviar  links e acessar mensagens devido à brecha de segurança. (Fonte: Gal Weizman/Reprodução)

Logo, Weizman observou que seria possível alterar metadados de mensagens trocadas e criar falsos banners com links infectados. Nessas análises, também descobriu que poderia injetar um código Javascript em conversas enviadas no app para desktop e, assim, obter acesso ao sistema local da máquina via API de busca da tecnologia de programação.

Correção disponível

No caso, edições mais antigas do WhatsApp para PC ainda foram desenvolvidas por meio de uma versão vulnerável e desatualizada do Chromium — base do Chrome e outros navegadores — que, após mudanças, começou a identificar brechas parecidas. Assim, os apps que passaram por update recente não devem exibir esse tipo de perigo.

Após confirmar o problema, a equipe do Facebook também enviou notificações aos usuários do serviço, apontando que, especificamente, as versões 0.3.9309 do app para desktop e 2.20.10 para iOS apresentam as falhas apontadas e devem ser imediatamente substituídas pelas respectivas atualizações.