Falha no WhatsApp e Telegraf facilitava sequestro de contas

O problema detectado pela Checkpoint afectava também o serviço Telegram  e como medida de segurança o fabricante recomenda-se o uso da última versão dos browsers.

 

seguranca_security_hi-copiaUma vulnerabilidade corrigida nas versões de computador de serviços de comunicações WhatsApp e Telegram permitia o sequestro de contas nestas plataformas. Potenciais intrusos podiam usar ficheiros “mascarados” de imagens ou vídeos e para garantir maior segurança a Checkpoint, que descobriu a falha, recomenda a actualização dos browsers usados.

As empresas gestoras dos sistemas foram avisadas já semana passada e reagiram rapidamente, garante o fabricante de tecnologia de segurança.

As versões de WhatsApp e Telegram baseados, na Internet, sincronizam automaticamente com as aplicações instalados nos smartphone. Pelo menos no caso da primeira, uma vez emparelhado usando um código QR, o telefone precisa ter uma conexão ativa com a Internet para as mensagens do WhatsApp serem retransmitidas para o navegador no computador.

Ambas as aplicações baseadas na Intenet permitem aos utilizadores fazerem o carregamento de certos tipos de ficheiros, como imagens e vídeos, e têm mecanismos de verificação para garantir que apenas esses conteúdos sejam usados. No entanto, investigadores da Check Point descobriram uma maneira de suplantar essas verificações e carregar ficheiros HTML.

Além disso, é possível levar estes conteúdos a imitarem imagens e vídeos tornando-os menos suspeitos, mais atraentes e passíveis de serem abertos.

Colocado nos browsers dos atacantes, os conteúdos dos utilizadores legítimos poderia permitir que os primeiros se autenticassem.

Como qualquer código HTML executado no contexto dessas aplicações “herda” as permissões vigentes dentro do browser, eventuais intrusos podem ter usado a técnica para roubar conteúdo de armazenamento local dessas aplicações e enviá-lo para um servidor remoto. E se colocado nos browsers dos atacantes, o conteúdo poderia permitir que estes se autenticassem como os utilizadores legítimos.

Isso significa que os hackers podem ter obtido acesso às históricos de mensagens das vítimas e ficheiros partilhados. Era-lhes possível enviar mensagens em nome dos titulares legítimos das contas, comprometendo os sistemas das pessoas presentes nas listas de contacto.

Como o código das aplicações de Internet é carregado directamente dos servidores da WhatsApp e Telegram, os utilizadores não precisam fazer nada para obter o software de correcção (além de usar um browser actualizado).




Deixe um comentário

O seu email não será publicado