E quem diz WhatsApp, diz também a Telegram. Foi descoberta uma nova vulnerabilidade de segurança nestas aplicações de mensagens, uma que permite invadir e tomar controlo de uma conta alheia numa questão de segundos com apenas o envio de uma imagem, conta o ‘Mirror’.
A vulnerabilidade foi descoberta pela empresa de segurança Check Point, que nota que os hackers podem enviar uma imagem com código malicioso integrado. Basta abrir a mensagem para o hacker ter acesso a informações pessoais da conta. A vulnerabilidade encontra-se apenas na versão web das aplicações de mensagens e parece ter origem na própria encriptação de mensagens utilizadas pelo WhatsApp e Telegram para proteger a informação dos seus utilizadores.
“Esta vulnerabilidade coloca centenas de milhões de utilizadores do WhatsApp e da Telegram em risco de perderem controlo das suas contas. Enviando uma mensagem aparentemente inocente, o atacante pode controlar a conta e ter acesso ao histórico de mensagens, todas as fotografias alguma vez partilhadas e enviar mensagens como se fosse o dono da conta”, pode ler-se no aviso do responsável pela investigação de vulnerabilidade da Check Pint, Oded Vanunu.
Isto é o que acontece no WhatsApp:
E isto ao Telegram:
Solução já apresentada
As falhas em apps de conversas são menos comuns do que em softwares para computadores. Os serviços móveis são frequentemente usados por causa da criptografia pesada, que tem sido criticada por algumas autoridades.
Os pesquisadores conseguiram enviar arquivos com código malicioso para as versões baseadas na web das duas aplicações ao fazê-las parecer algo diferente, como uma imagem. No caso do WhatsApp, uma vez aberto pelo destinatário, o código permitiu aos pesquisadores entrar no armazenamento local do usuário e, em seguida, aceder à sua conta. A partir daí, eles poderiam ter enviado o mesmo ataque malicioso para todos os seus contatos.
A falha do Telegram foi muito mais sutil e exigiu um comportamento “muito incomum” da vítima, como clicar com o botão direito do mouse num vídeo e abrir uma nova guia, disse o porta-voz da Check Point, Markus Ra. Não há provas de que ataques semelhantes tenham sido realmente utilizados contra os produtos de qualquer das empresas, disse ainda.
“Quando a Check Point informou o problema, tratamos da questão num dia e lançamos uma atualização do WhatsApp para a web”, disse Anne Yeh, porta-voz da empresa, unidade do Facebook. “Para garantir que você está a usar a versão mais recente, reinicie o navegador.”
