O Facebook eliminou vulnerabilidades em mensagens com link no WhatsApp Web, que poderiam manipular o navegador de internet para roubar informações, levar o usuário para um site malicioso ou até instalar um vírus no sistema.
O problema se baseia em códigos executados pelos navegadores e, por essa razão, não atingia o aplicativo do WhatsApp usado em smartphones Android ou iOS. No entanto, o risco era ainda maior no WhatsApp Desktop, que é baseado no WhatsApp Web.
A brecha foi encontrada pelo pesquisador de segurança Gal Weizman. Ele investigava o comportamento do WhatsApp que permite “colocar palavras na boca de outras pessoas” e descobriu que o filtro do WhatsApp apresentava outras deficiências.
Weizman encontrou um meio de adulterar a prévia do link que aparece quando mensagens desse tipo são enviadas pelo WhatsApp, inserindo uma prévia para um site diferente do especificado pelo link. Mas o truque ainda permite a manipulação dos próprios links — inclusive para links que executam códigos diretamente no navegador.
Nesses casos, em vez de levar o usuário para um site como um link comum faz, o “link”, ao ser clicado, roda diversos comandos especificados pela pessoa que o enviou.
Falta de atualização no WhatsApp Deskop
Os problemas encontrados por Weizman eram ainda mais graves para os usuários do WhatsApp Desktop. Segundo o especialista, o problema poderia permitir a instalação de vírus e roubo de arquivos do computador.
O WhatsApp Desktop é como um “navegador para um site só” para facilitar o acesso ao WhatsApp Web. O software é criado a partir do Electron, um componente que “transforma” um site em um aplicativo para computador.
Para realizar essa façanha, o Electron usa o Chromium, a mesma base de código do navegador Chrome.
Weizman verificou que a versão do Electron usada pelo Facebook no WhatsApp Desktop estava desatualizada e, por essa razão, o Chromium também estava em uma versão antiga.
Sendo assim, acessar o WhatsApp Web pelo aplicativo Desktop era o equivalente a acessar o WhatsApp Web com um navegador Chrome desatualizado.
Por conta das brechas existentes na versão antiga do navegador, os comandos executados pelos links no WhatsApp Web poderiam assumir o controle total do aplicativo e instalar outros programas no computador ou roubar arquivos locais.
O WhatsApp Desktop foi atualizado para utilizar uma versão mais recente do Electron e, portanto, do Chromium.
Fonte G1