WhatsApp Web e Telegram têm falha de segurança no navegador

Uma falha de segurança que afeta as versões para browser de mensageiros criptografados como o WhatsApp e o Telegram foi revelada na quarta-feira (15) pela Check Point, uma empresa de segurança israelense.

O problema, que já foi corrigido nos dois mensageiros, se aproveitava de uma vulnerabilidade nativa de webapps para executar comandos no navegador capazes de roubar o acesso à conta e lista de contatos das vítimas quando executassem vídeos.

Para ser explorada, a falha requer que o usuário tenha conhecimento dela e de técnicas de invasão, receba/envie um arquivo contaminado, que normalmente é uma imagem e o execute na versão do mensageiro para computador.

No Telegram, havia ainda um requisito extra de que o arquivo fosse aberto em outra aba. Quando isto acontece, um código malicioso inserido no conteúdo é executado, fornecendo o acesso aos dados — no caso, as conversas no app.

Isto é possível devido a um processo complexo chamado validação de dados, que é usado para garantir que um arquivo seja mesmo o que diz ser. A técnica é usada também em sites de bancos ou redes sociais como o Facebook e evita que, por exemplo, o usuário envie um vídeo como se fosse uma foto, validando o tipo do arquivo.

Quando é executada em aplicativos, a validação de dados é um processo controlado e que não aceita a inserção de códigos novos devido à forma como o próprio aplicativo é construído. Já a versão WhatsApp Web, utiliza o Javascript para a mesma função e esta linguagem de programação é versátil e pode ser instruída a rodar novos comandos por pessoas com tal conhecimento.

Como corrigir?

Até agora, apenas o WhatsApp e o Telegram foram afetados pela falha, mas ela pode afetar outros tipos de mensageiros com versões para a web — não há informação, ainda, sobre riscos no Skype. Versões móveis dos aplicativos para celulares não sofrem deste mesmo problema no Android e iOS.

O WhatsApp admite a falha e recomenda que os usuários reiniciem seus navegadores para garantir que estão usando a versão mais atual. “Nós construímos o WhatsApp para manter as pessoas e suas informações seguras. Quando a Check Point reportou o problema, nós resolvemos a questão em um dia e lançamos uma atualização para o WhatsApp Web. Para garantir que você está usando a última versão, por favor reinicie seu navegador”, afirmou um porta-voz do WhatsApp ao TechTudo.

Já o Telegram, em nota, minimizou o problema ao afirmar que o aplicativo não possui a mesma vulnerabilidade que o concorrente, pois ela não é tão simples de ser reproduzida e necessita de outro caminho.

“Para que o vídeo seja reproduzido, a tarefa não é tão simples como abri-lo em uma nova aba. Os links também não podem ser abertos em outro navegador além do Chrome. Isso é totalmente irrelevante para o Telegram no Desktop ou nos apps. Ainda assim, nós corrigimos o erro imediatamente, é claro”, informou.