Falha em WhatsApp Web permitia que cibercriminosos acessassem arquivos no computador - OSTEC

This post is also available in: Português Español

O bug foi encontrado no WhatsApp Web e afetava também os aplicativos para desktop de Windows e Mac, mas já foi corrigido.

Na última terça – feira (04/01), o pesquisador de segurança cibernética, Gal Weizman, da PerimeterX, divulgou detalhes técnicos de vulnerabilidades de alta gravidade encontradas no WhatssApp.

Identificado como CVE – 2019 – 18426, o bug tira proveito de uma vulnerabilidade de redirecionamento aberto que pode levar a ataques XSS (croos – site scripting) iniciados através de uma mensagem especialmente preparada enviada para a vítima.

O Cross-Site Scripting (XSS) é provavelmente a vulnerabilidade de segurança mais comum existente em aplicativos da Web. Estima-se que aproximadamente 65% dos sites são vulneráveis a ataque XSS, uma estatística bastante assustadora.

A falha também tornava possível modificar o “preview” dos links enviados via WhatsApp, incluindo texto e imagem. Esta técnica induz o usuário ao clique e pode ser utilizada para redirecionar os mesmos à sites maliciosos.

Abaixo são apresentadas as imagens dos testes feitos por Weizman. No teste o texto e logotipo são do Facebook, contudo a url direciona o usuário para outro site.

Ilustração I – Fonte: Gal Weizman – Perimeterx.com, 2019.

Ao clicar na mensagem, a vítima abre as portas para que o cibercriminoso execute um código remotamente em sua máquina, isso inclui a possibilidade de captura de informações.

Ilustração II – Fonte: Gal Weizman – Perimeterx.com, 2019.

Segundo o pesquisador:

“Se as regras do CSP (Content Security Police) estivessem configuradas adequadamente, o poder adquirido por esse XSS seria muito menor. A capacidade de ignorar a configuração do CPS, permite que um invasor capture informações valiosas da vítima, carregue cargas externas facilmente e muito mais”.

As falhas identificadas foram relatadas por Weizman à equipe de segurança do Facebook no ano passado, que corrigiu as falhas e lançou uma versão atualizada do aplicativo para desktop.

Weizman foi recompensado com uma quantia de $ 12.500 dólares (cerca de 53 mil reais), prêmio dado pela empresa no programa de recompensas para usuários que identificam bugs e falhas de segurança.

Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.

This post is also available in: Português Español

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Fornecedora de água nos EUA é invadida e clientes ficam sem meios de pagar a fatura

A nova maneira que um dos vírus mais famosos do mundo encontrou para não ser pego

Cadastre-se em nossa newsletter