A Check Point Research, um provedor especializado em segurança cibernética, descobriu uma nova vulnerabilidade no WhatsApp, o popular aplicativo de mensagens instantâneas usado por 1,5 bilhão de pessoas.
Essa falha de segurança permite que os cibercriminosos enviem uma mensagem maliciosa em um bate-papo que bloqueia o aplicativo de todos os membros do grupo. Esse novo erro crítico no aplicativo se soma a outros problemas de segurança que o WhatsApp enfrentou nos últimos meses.
Os pesquisadores descobriram a vulnerabilidade inspecionando as comunicações entre o WhatsApp e o WhatsApp Web – a versão para PC/Notebook do aplicativo, que reflete todas as mensagens enviadas e recebidas do telefone de um usuário.
Normalmente, quando um membro de um grupo do WhatsApp envia uma mensagem para o bate-papo em grupo, o aplicativo examina o parâmetro “participante”, que contém o número de telefone, para identificar quem enviou a mensagem e os especialistas do Check Point perceberam que esse parâmetro pode ser manipulado nas comunicações do WhatsApp.
Que problemas essa vulnerabilidade traz?
Essa vulnerabilidade obriga a desinstalar e reinstalar o aplicativo para poder usá-lo novamente, assim como eliminar o grupo de conversação infectado, o que significa perder histórico, arquivos compartilhados etc.
Além disso, os cibercriminosos podem explorar essa vulnerabilidade para criar um loop destrutivo no aplicativo seguindo este padrão:
- Ele se infiltra em um bate-papo em grupo e finge ser um membro dele. O aplicativo permite até 256 participantes por grupo, permitindo que essa ação seja relativamente simples.
- Depois disso, modifica parâmetros específicos de mensagens, edita e envia mensagens maliciosas aos participantes através do WhatsApp Web e de uma ferramenta de depuração do navegador.
- Ele gera um loop de bloqueio imparável que afeta todos os membros do grupo, negando-lhes acesso a todas as funções do WhatsApp.
O que você pode fazer para se proteger?
Em agosto, a Check Point informou ao WhatsApp os erros encontrados e a empresa desenvolveu um patch de segurança disponível na versão 2.19.246 lançada em setembro.
Essa nova variante incorpora novos controles para impedir que pessoas sejam adicionadas a grupos indesejados e, assim, evitar a comunicação com participantes indesejados.
Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point, alerta que “o WhatsApp é um dos principais canais de comunicação do mundo, não apenas para usuários, mas também para empresas e órgãos governamentais; portanto, ter acesso ao aplicativo para impedir seu uso e eliminar informações valiosas de grupos de bate-papo é um recurso muito atraente para os cibercriminosos. Por esse motivo, é essencial que os usuários atualizem o WhatsApp para a versão mais recente disponível para se proteger contra um possível ataque desse tipo.”
