Descoberta vulnerabilidade que poderá comprometer utilizadores de Whatsapp e Telegram

A equipa de especialistas de segurança da Check Point descobriram uma nova vulnerabilidade nas versões para browser das aplicações para mensagens Whatsapp e Telegram

Descoberta vulnerabilidade que poderá comprometer utilizadores de Whatsapp e Telegram

Explorando este ponto fraco, os atacantes podem assumir o controlo completo sobre as contas das vítimas e aceder às suas conversas pessoais e de grupo, assim como às suas fotos, listas de contactos, vídeos e outros ficheiros partilhados a partir de qualquer dispositivo.

"Esta nova vulnerabilidade põe em risco centenas de milhões de utilizadores do WhatsApp Web e do Telegram Web", explica Oded Vanunu, diretor de investigação de vulnerabilidade de produtos da Check Point. "Ao enviar simplesmente uma foto aparentemente inofensiva, um cibercriminoso pode passar a controlar a conta de um utilizador, aceder ao historial de mensagens, ver e descarregar todas as fotos partilhadas e enviar mensagens em nome da vítima".

A vulnerabilidade permite ao cibercriminoso enviar o código malicioso oculto dentro de uma imagem de aspeto inofensivo. Assim que o utilizador clica na fotografia, abre o acesso completo aos dados armazenados no WhatsApp ou Telegram. O cibercriminoso pode enviar o ficheiro malicioso a todos os contactos da vítima, o que potencialmente permite um ataque de grande escala. A Check Point revelou esta informação às equipas de segurança da WhatsApp e Telegram no passado dia 8 de março. Ambas as companhias reconheceram o problema de segurança e desenvolveram uma solução para os clientes web em todo o mundo.

"Felizmente, a WhatsApp e a Telegram responderam rapidamente para mitigar este problema que afetava todos os clientes web", conta Oded Vanunu. Recomenda-se aos utilizadores do WhatsApp Web e Telegram que utilizem a última versão disponível, reiniciando o seu browser. O WhatsApp e Telegram usam a encriptação de mensagens end-to-end como medida de segurança de dados, para garantir que só as pessoas que se comunicam possam ler as mensagens.

No entanto, a mesma técnica foi a fonte deste ponto fraco. Dado que as mensagens foram encriptadas uma vez enviadas pelo remetente, WhatsApp e Telegram não puderam ver o seu conteúdo, pelo que não conseguiram evitar que fosse enviado malware. Depois de corrigir esta vulnerabilidade, o conteúdo das mensagens passa a ser validado antes da encriptação e não depois, o que permitirá bloquear os ficheiros maliciosos.

Ambas as versões web espelham todas as mensagens enviadas e recebidas pelo utilizador na aplicação móvel e estão totalmente sincronizadas com os dispositivos dos utilizadores.

A WhatsApp tem mais de mil milhões de utilizadores em todo o mundo, sendo atualmente o serviço de mensagens instantâneas mais utilizado. A sua versão web está disponível em todos os browsers e plataformas compatíveis com WhatsApp, incluindo Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 e telefones inteligentes Nokia.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 13 Maio 2018

IT INSIGHT Nº 13 Maio 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!