Início » Aplicativos e Software » WhatsApp Desktop tem falha que permite acessar arquivos no Windows e macOS

WhatsApp Desktop tem falha que permite acessar arquivos no Windows e macOS

Em versões antigas do WhatsApp Desktop, um invasor pode ler arquivos no seu computador se você clicar em um link específico

Felipe Ventura Por

Se você usa o WhatsApp Desktop no Windows ou macOS, eu recomendo atualizar imediatamente: uma falha em versões antigas do programa permite que invasores acessem arquivos no seu computador após clicar em um link aparentemente inofensivo. Isso acontece porque o aplicativo usava uma versão antiga e vulnerável do navegador Chromium, base do Google Chrome.

whatsapp na tela

O WhatsApp Desktop depende da plataforma Electron, que transforma sites em programas executáveis para diferentes sistemas operacionais. Ela é baseada no Chromium, projeto de código aberto do Google Chrome.

No entanto, o WhatsApp Desktop estava usando uma versão muito antiga do Electron: ela era baseada no Chromium 69, quando o Chrome 78 já estava no canal estável. A brecha já tinha sido fechada, mas o Facebook não havia implementado a correção.

Todas as versões do WhatsApp Desktop anteriores à 0.3.9309 são vulneráveis quando emparelhadas com o WhatsApp para iPhone 2.20.10 ou mais antigo. O programa não funciona de forma independente (pelo menos não por enquanto).

WhatsApp Desktop permitia acessar arquivos do sistema

A falha do WhatsApp Desktop envolve uma técnica chamada XSS (cross-site scripting): basicamente, é possível injetar código JavaScript em uma página web normalmente confiável e, dependendo do navegador, ler arquivos do sistema — inclusive em pastas como a System32 do Windows.

“Uma vulnerabilidade no WhatsApp Desktop, quando combinada com o WhatsApp para iPhone, permite XSS e leitura de arquivos locais”, explica o comunicado de segurança do Facebook. Para explorar a brecha, é necessário que a vítima clique na prévia de um link em uma mensagem.

O pesquisador Gal Weizman, da empresa de segurança PerimeterX, descobriu a falha. Ele conseguiu usar um comando em JavaScript chamado “fetch” para ler arquivos do computador: a brecha no WhatsApp Desktop deixou acessar o arquivo hosts dentro da pasta C:\Windows\System32\drivers\etc\, algo que normalmente não seria possível.

WhatsApp Desktop falha

Weizman também descobriu que é possível alterar a prévia de links nas mensagens do WhatsApp: por exemplo, o aplicativo pode mostrar o ícone e título da página do Facebook, mas levar você para outro site.

Ido Safruti, diretor técnico da PerimeterX, diz em comunicado que essas mensagens modificadas passariam completamente despercebidas por um usuário leigo. “Esses ataques seriam possíveis simplesmente modificando o código JavaScript de uma única mensagem antes da entrega ao destinatário”, ele explica.

Com informações: Bleeping Computer.

Comentários da Comunidade

Participe da discussão
2 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Rafael de Paula (@Red)

Bem, uma semana atrás o Mark disse que O problema de segurança do WhatsApp para iPhone no caso do dono da Amazon, o Jeff Bezos, era culpa do iOS.

Imagino que agora ele vá culpar o Windows e o MacOS também.