WhatsApp corrige falha que permitia leitura de mensagens privadas por invasores

WhatsApp corrige falha que permitia leitura de mensagens privadas por invasores

Por Dácio Castelo Branco | Editado por Claudio Yuge | 02 de Setembro de 2021 às 14h10
Divulgação/Alfredo Rivera/Pixabay

O WhatsApp corrigiu uma vulnerabilidade em seu sistema que permitia que invasores tivessem acesso a informações privadas e sensíveis diretamente da memória do aplicativo, a partir do envio de uma imagem criada especialmente para se aproveitar da falha.

A vulnerabilidade foi informada para o WhatsApp pela companhia de cibersegurança Check Point Research em setembro do ano passado, e reparada pelo aplicativo em fevereiro de 2021. Segundo o informe, a brecha acontecia a partir da função de filtros de imagem presentes tanto no WhatsApp quanto no WhatsApp Business para Android. Segundo o aplicativo de mensagens, não há evidências de que a falha tenha sido usada por criminosos.

Chamada “Vulnerabilidade de leitura-escrita fora dos limites” ("Out-Of-Bounds read-write vulnerability"), o problema estava presente até a versão 2.21.1.13 do WhatsApp e do WhatsApp Business. A falha, que é tecnicamente uma corrupção da memória do aplicativo, foi descoberta após a realização de uma análise da forma que o mensageiro processa e envia as imagens nas conversas. Durante a análise, foi descoberto que a função de filtros do aplicativo encontra um problema quando é usada em arquivos do tipo .GIF criados maliciosamente.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Fora do ambiente da análise, a situação poderia ocorrer quando os usuários abrissem o GIF malicioso, aplicassem um filtro ao arquivo e o mandassem de volta para o invasor. Portanto, para o processo poder ser executado, os criminosos iriam necessitar de bastante interação com a vítima.

Quando acessada de forma bem-sucedida, porém, a vulnerabilidade poderia permitir que desde imagens e vídeos compartilhados no aplicativo até mensagens privadas fossem acessadas pelo invasor. Os detalhes da falha de segurança foram listados no site de conselhos de segurança do WhatsApp com o código CVE-2020-1910. O problema foi consertado com o app adicionando duas novas checagens no processo afetado, restringindo o acesso à memória.

Fonte: ZDNET

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.