O Facebook corrigiu, nesta quinta-feira (6), vulnerabilidades em mensagens no WhatsApp Web , que permitiam roubos de informações, redirecionamento para sites maliciosos e até a instalação de vírus no sistema.
Modo escuro chega ao WhatsApp para iPhone
A falha se baseava em códigos utilizados por navegadores, por isso, não era capaz de atingir o aplicativo em smartphones (Android ou IOS). Contudo, o risco era elevado no WhatsApp
Desktop
, do Whatsapp Web.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Gal Weizman. O pesquisador analisava o comportamento do aplicativo que permite "colocar palavras na boca de outras pessoas" e descobriu que a ferramenta do Whatsapp apresentava outros erros.
Golpe do WhatsApp promete material escolar a beneficiários do Bolsa Família
O pesquisador achou um meio de adulterar a prévia do link que é mostrada quando mensagens do tipo são enviadas pelo WhatsApp. O "truque" permite também a manipulação dos próprios links — que executam códigos no navegador.
De acordo com Weizman, o problema era muito pior no Whatsapp Desktop, já que a falha permitiria a instalação de vírus e roubo de arquivos do computador.
O WhatsApp Desktop é uma espécie de "navegador de um único site" que facilita o acesso ao Whatsapp Web. O "navegador" é criado seguindo um componente chamado "Electron" que transorma um site em um aplicativo para computador.
O Electron usa o Chromium, seguindo a mesma base de código do navegador Chrome.
A brecha foi que a versão do Electron usada pelo Facebook
no WhatsApp Desktop estava desatualizada e, por conta disso, o Chromium também se encontrava em uma versão antiga.
Por conta destas brechas, os comandos executados pelos links no WhatsApp Web seriam capazes de assumir o controle completo do aplicativo e instalar outros programas no computador ou roubar arquivos.
Para corrigir o problema, o WhatsApp
Desktop
foi atualizado para utilizar uma versão mais recente do Electron
, resultando em uma atualização do Chromium também.
De acordo com o portal "Olhar Digital", Weizman alertou ao Facebook
no final de 2019 e recebeu uma recompensa de US$ 12.500 (aproximadamente R$ 53 mil).