Com uma imagem, hacker podia invadir WhatsApp e Telegram
A empresa de segurança Check Point divulgou nesta quarta-feira (15) que seus especialistas encontraram uma brecha nas interfaces web dos comunicadores WhatsApp e Telegram. A vulnerabilidade permitia que um invasor acessasse a conta da vítima, incluindo todas as mensagens e imagens, desde que a vítima recebesse e abrisse uma foto pela interface web do serviço.
Quem acessa o WhatsApp ou o Telegram apenas pelo aplicativo no celular não estava vulnerável a este ataque.
Os especialistas descobriram o problema em uma pesquisa independente. Por isso, não há evidências de que a falha tenha sido explorada de verdade.
A brecha foi identificada pela Check Point e comunicada aos desenvolvedores do WhatsApp e do Telegram no dia 7 de março. Segundo a empresa, o WhatsApp e o Telegram atuaram rapidamente para corrigir o problema. Por isso, a técnica divulgada pela empresa não funciona mais.
A Check Point publicou vídeos demonstrando os ataques: assista do WhatsApp e do Telegram.
(Foto: Altieres Rohr/Especial para o G1)
Imagem que não é imagem
O ataque consistia em enviar uma imagem falsa pelo WhatsApp Web ou Telegram Web para uma vítima que também estivesse usando esses clientes. O truque residia no fato de que a imagem enviada não era de fato uma imagem, mas um código do tipo HTML, que é interpretado pelo navegador como página web.
Quando a vítima abria a imagem, ela estava na verdade abrindo uma página definida pelo atacante. Como a página era aberta no contexto do WhatsApp ou do Telegram, essa página tinha autorização para coletar informações relativas ao serviço, inclusive a chave de autorização para acesso.
Essa informação podia então ser transferida para o invasor, que ganhava acesso ao cliente web.
Segundo a Check Point, o uso de "criptografia ponta-a-ponta" pelo WhatsApp e pelo Telegram acaba contribuindo para o surgimento desse tipo de vulnerabilidade. Como o serviço não é capaz de visualizar o conteúdo transferido, o serviço não pode validar os dados para saber se há algo inadequado no arquivo antes de retransmiti-lo.
Por isso, nesses casos, a validação dos dados fica inteiramente a cargo do sistema receptor - seja o WhatsApp Web ou o Telegram Web.
Proteção
O WhatsApp Web tem uma proteção que impede dois acessos a partir de uma mesma chave de autorização. No entanto, como o invasor está executando código na própria janela do WhatsApp, a Check Point observou que há meios de burlar essa proteção, tais como fazer a janela travar por alguns instantes enquanto o invasor acessa a conta.
Quem acessa o WhatsApp ou o Telegram apenas pelo aplicativo no celular não estava vulnerável a este ataque.
Os especialistas descobriram o problema em uma pesquisa independente. Por isso, não há evidências de que a falha tenha sido explorada de verdade.
A brecha foi identificada pela Check Point e comunicada aos desenvolvedores do WhatsApp e do Telegram no dia 7 de março. Segundo a empresa, o WhatsApp e o Telegram atuaram rapidamente para corrigir o problema. Por isso, a técnica divulgada pela empresa não funciona mais.
A Check Point publicou vídeos demonstrando os ataques: assista do WhatsApp e do Telegram.
(Foto: Altieres Rohr/Especial para o G1)
Imagem que não é imagem
O ataque consistia em enviar uma imagem falsa pelo WhatsApp Web ou Telegram Web para uma vítima que também estivesse usando esses clientes. O truque residia no fato de que a imagem enviada não era de fato uma imagem, mas um código do tipo HTML, que é interpretado pelo navegador como página web.
Quando a vítima abria a imagem, ela estava na verdade abrindo uma página definida pelo atacante. Como a página era aberta no contexto do WhatsApp ou do Telegram, essa página tinha autorização para coletar informações relativas ao serviço, inclusive a chave de autorização para acesso.
Essa informação podia então ser transferida para o invasor, que ganhava acesso ao cliente web.
Segundo a Check Point, o uso de "criptografia ponta-a-ponta" pelo WhatsApp e pelo Telegram acaba contribuindo para o surgimento desse tipo de vulnerabilidade. Como o serviço não é capaz de visualizar o conteúdo transferido, o serviço não pode validar os dados para saber se há algo inadequado no arquivo antes de retransmiti-lo.
Por isso, nesses casos, a validação dos dados fica inteiramente a cargo do sistema receptor - seja o WhatsApp Web ou o Telegram Web.
Proteção
O WhatsApp Web tem uma proteção que impede dois acessos a partir de uma mesma chave de autorização. No entanto, como o invasor está executando código na própria janela do WhatsApp, a Check Point observou que há meios de burlar essa proteção, tais como fazer a janela travar por alguns instantes enquanto o invasor acessa a conta.
(Foto: Reprodução)
Fonte:g1
Nenhum comentário
Deixe Seu Comentário. Sua Opinião é Muito Importante