Se você usa o WhatsApp Desktop no Windows ou macOS, eu recomendo atualizar imediatamente: uma falha em versões antigas do programa permite que invasores acessem arquivos no seu computador após clicar em um link aparentemente inofensivo. Isso acontece porque o aplicativo usava uma versão antiga e vulnerável do navegador Chromium, base do Google Chrome.
- FBI investiga empresa que invade celulares pelo WhatsApp
- Como usar o WhatsApp no PC (Windows, macOS e Linux)
O WhatsApp Desktop depende da plataforma Electron, que transforma sites em programas executáveis para diferentes sistemas operacionais. Ela é baseada no Chromium, projeto de código aberto do Google Chrome.
No entanto, o WhatsApp Desktop estava usando uma versão muito antiga do Electron: ela era baseada no Chromium 69, quando o Chrome 78 já estava no canal estável. A brecha já tinha sido fechada, mas o Facebook não havia implementado a correção.
Todas as versões do WhatsApp Desktop anteriores à 0.3.9309 são vulneráveis quando emparelhadas com o WhatsApp para iPhone 2.20.10 ou mais antigo. O programa não funciona de forma independente (pelo menos não por enquanto).
WhatsApp Desktop permitia acessar arquivos do sistema
A falha do WhatsApp Desktop envolve uma técnica chamada XSS (cross-site scripting): basicamente, é possível injetar código JavaScript em uma página web normalmente confiável e, dependendo do navegador, ler arquivos do sistema — inclusive em pastas como a System32 do Windows.
"Uma vulnerabilidade no WhatsApp Desktop, quando combinada com o WhatsApp para iPhone, permite XSS e leitura de arquivos locais", explica o comunicado de segurança do Facebook. Para explorar a brecha, é necessário que a vítima clique na prévia de um link em uma mensagem.
O pesquisador Gal Weizman, da empresa de segurança PerimeterX, descobriu a falha. Ele conseguiu usar um comando em JavaScript chamado "fetch" para ler arquivos do computador: a brecha no WhatsApp Desktop deixou acessar o arquivo hosts dentro da pasta C:\Windows\System32\drivers\etc\, algo que normalmente não seria possível.
Weizman também descobriu que é possível alterar a prévia de links nas mensagens do WhatsApp: por exemplo, o aplicativo pode mostrar o ícone e título da página do Facebook, mas levar você para outro site.
Ido Safruti, diretor técnico da PerimeterX, diz em comunicado que essas mensagens modificadas passariam completamente despercebidas por um usuário leigo. "Esses ataques seriam possíveis simplesmente modificando o código JavaScript de uma única mensagem antes da entrega ao destinatário", ele explica.
Com informações: Bleeping Computer.
WhatsApp Desktop tem falha que permite acessar arquivos no Windows e macOS
WhatsApp Desktop tem falha que permite acessar arquivos no Windows e macOSpublicado primeiro em https://tecnoblog.net
Nenhum comentário:
Postar um comentário