Descoberta vulnerabilidade que poderá comprometer utilizadores de Whatsapp e Telegram

Explorando este ponto fraco, os atacantes podem assumir o controlo completo sobre as contas das vítimas e aceder às suas conversas pessoais e de grupo, assim como às suas fotos, listas de contactos, vídeos e outros ficheiros partilhados a partir de qualquer dispositivo.

"Esta nova vulnerabilidade põe em risco centenas de milhões de utilizadores do WhatsApp Web e do Telegram Web", explica Oded Vanunu, diretor de investigação de vulnerabilidade de produtos da Check Point. "Ao enviar simplesmente uma foto aparentemente inofensiva, um cibercriminoso pode passar a controlar a conta de um utilizador, aceder ao historial de mensagens, ver e descarregar todas as fotos partilhadas e enviar mensagens em nome da vítima".

A vulnerabilidade permite ao cibercriminoso enviar o código malicioso oculto dentro de uma imagem de aspeto inofensivo. Assim que o utilizador clica na fotografia, abre o acesso completo aos dados armazenados no WhatsApp ou Telegram. O cibercriminoso pode enviar o ficheiro malicioso a todos os contactos da vítima, o que potencialmente permite um ataque de grande escala. A Check Point revelou esta informação às equipas de segurança da WhatsApp e Telegram no passado dia 8 de março. Ambas as companhias reconheceram o problema de segurança e desenvolveram uma solução para os clientes web em todo o mundo.

"Felizmente, a WhatsApp e a Telegram responderam rapidamente para mitigar este problema que afetava todos os clientes web", conta Oded Vanunu. Recomenda-se aos utilizadores do WhatsApp Web e Telegram que utilizem a última versão disponível, reiniciando o seu browser. O WhatsApp e Telegram usam a encriptação de mensagens end-to-end como medida de segurança de dados, para garantir que só as pessoas que se comunicam possam ler as mensagens.

No entanto, a mesma técnica foi a fonte deste ponto fraco. Dado que as mensagens foram encriptadas uma vez enviadas pelo remetente, WhatsApp e Telegram não puderam ver o seu conteúdo, pelo que não conseguiram evitar que fosse enviado malware. Depois de corrigir esta vulnerabilidade, o conteúdo das mensagens passa a ser validado antes da encriptação e não depois, o que permitirá bloquear os ficheiros maliciosos.

Ambas as versões web espelham todas as mensagens enviadas e recebidas pelo utilizador na aplicação móvel e estão totalmente sincronizadas com os dispositivos dos utilizadores.

A WhatsApp tem mais de mil milhões de utilizadores em todo o mundo, sendo atualmente o serviço de mensagens instantâneas mais utilizado. A sua versão web está disponível em todos os browsers e plataformas compatíveis com WhatsApp, incluindo Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 e telefones inteligentes Nokia.