Header Ads

Notícias de Última Hora

Com uma imagem, hacker podia invadir WhatsApp e Telegram

A empresa de segurança Check Point divulgou nesta quarta-feira (15) que seus especialistas encontraram uma brecha nas interfaces web dos comunicadores WhatsApp e Telegram. A vulnerabilidade permitia que um invasor acessasse a conta da vítima, incluindo todas as mensagens e imagens, desde que a vítima recebesse e abrisse uma foto pela interface web do serviço.

Quem acessa o WhatsApp ou o Telegram apenas pelo aplicativo no celular não estava vulnerável a este ataque. 

Os especialistas descobriram o problema em uma pesquisa independente. Por isso, não há evidências de que a falha tenha sido explorada de verdade.

A brecha foi identificada pela Check Point e comunicada aos desenvolvedores do WhatsApp e do Telegram no dia 7 de março. Segundo a empresa, o WhatsApp e o Telegram atuaram rapidamente para corrigir o problema. Por isso, a técnica divulgada pela empresa não funciona mais. 

A Check Point publicou vídeos demonstrando os ataques: assista do WhatsApp e do Telegram

(Foto: Altieres Rohr/Especial para o G1)

Imagem que não é imagem
O ataque consistia em enviar uma imagem falsa pelo WhatsApp Web ou Telegram Web para uma vítima que também estivesse usando esses clientes. O truque residia no fato de que a imagem enviada não era de fato uma imagem, mas um código do tipo HTML, que é interpretado pelo navegador como página web.

Quando a vítima abria a imagem, ela estava na verdade abrindo uma página definida pelo atacante. Como a página era aberta no contexto do WhatsApp ou do Telegram, essa página tinha autorização para coletar informações relativas ao serviço, inclusive a chave de autorização para acesso.

Essa informação podia então ser transferida para o invasor, que ganhava acesso ao cliente web.

Segundo a Check Point, o uso de "criptografia ponta-a-ponta" pelo WhatsApp e pelo Telegram acaba contribuindo para o surgimento desse tipo de vulnerabilidade. Como o serviço não é capaz de visualizar o conteúdo transferido, o serviço não pode validar os dados para saber se há algo inadequado no arquivo antes de retransmiti-lo.

Por isso, nesses casos, a validação dos dados fica inteiramente a cargo do sistema receptor - seja o WhatsApp Web ou o Telegram Web.

Proteção
O WhatsApp Web tem uma proteção que impede dois acessos a partir de uma mesma chave de autorização. No entanto, como o invasor está executando código na própria janela do WhatsApp, a Check Point observou que há meios de burlar essa proteção, tais como fazer a janela travar por alguns instantes enquanto o invasor acessa a conta.

(Foto: Reprodução)






Fonte:g1

Nenhum comentário

Deixe Seu Comentário. Sua Opinião é Muito Importante