Pesquisadores detalham a vulnerabilidade do WhatsApp agora corrigido

Em uma postagem recente feita pelos pesquisadores de segurança que trabalham com a Check Point, uma equipe divulgou uma vulnerabilidade antiga em uma versão agora desatualizada do WhatsApp que pode ter levado a uma potencial exposição de informações pessoais de usuários do WhatsApp.

O bug em questão envolve uma cadeia de eventos muito longa e complicada que precisa ocorrer antes que qualquer um dos dados do usuário se torne explorável, mas ainda foi dada uma classificação de 7,8, que é considerada 'alta' sob o CVE ou Vulnerabilidades Comuns e Sistema de exploits.

Para que um malfeitor abuse da vulnerabilidade em questão, ele precisará enviar um arquivo de imagem especificamente alterado e construído de forma maliciosa. A vítima então precisaria executar o arquivo de anexo recebido por meio de um dos filtros de manipulação de imagem do WhatsApp. Uma vez que eles tentam enviar o arquivo resultante de volta, o aplicativo pode travar e levar à exposição dos dados.

A vulnerabilidade é explicada em grandes detalhes técnicos no relatório Check Point, mas basicamente se resume ao WhatsApp não verificar a imagem de origem e de destino. Nos casos em que uma imagem de origem adulterada de forma maliciosa é usada, isso pode levar a problemas de leitura e gravação fora dos limites.

O WhatsApp tem a maior base de usuários entre os aplicativos de mensagens, com cerca de 2 bilhões de usuários ativos por mês. Mesmo considerando a cadeia complexa e relativamente longa de eventos e condições que precisam ser satisfeitas para que a exploração acione e exponha os dados do usuário, vulnerabilidades semelhantes são sempre um problema

Depois que a Check Point notificou o WhatsApp sobre o problema no final de 2020, o bug foi corrigido e eliminado do aplicativo a partir da versão 2.21.1.13.

Relatórios semelhantes também ajudam a aumentar a conscientização sobre a importância de atualizar cada aplicativo em cada dispositivo o mais rápido possível após um novo patch.