Vulnerabilidade no WhatsApp pode levar ao roubo de dados de milhões de usuários

A vulnerabilidade estava implantada na função de filtro do aplicativo, um processo pelo qual os pixels da imagem original são modificados para obter alguns efeitos visuais, como desfoque ou nitidez.

Compartilhar:

A Check Point expôs uma vulnerabilidade de segurança no WhatsApp, o aplicativo de mensagens mais popular do mundo, com mais de 2 bilhões de usuários ativos. Ao aplicar filtros específicos a uma imagem especialmente criada e enviá-la, um atacante pode ter explorado a vulnerabilidade para ler informações confidenciais da memória do WhatsApp.

 

A vulnerabilidade teve sua origem no recurso de filtro de imagem do WhatsApp, um processo pelo qual os pixels da imagem original são modificados para obter alguns efeitos visuais, como desfoque ou nitidez. Durante a análise de sua pesquisa, a CPR descobriu que alternar entre vários filtros em arquivos GIF elaborados, de fato, fazia o WhatsApp travar.

 

A CPR identificou uma das falhas como uma corrupção de memória. A equipe da CPR prontamente relatou essa questão ao WhatsApp, que nomeou a vulnerabilidade CVE-2020-1910, detalhando-a como um problema de leitura e gravação. A exploração bem-sucedida da vulnerabilidade exigiria que um atacante aplicasse filtros de imagem específicos a uma imagem especialmente criada para ser enviada.

 

Estima-se que mais de 55 bilhões de mensagens sejam enviadas diariamente pelo WhatsApp, além de 4,5 bilhões de fotos e um bilhão de vídeos compartilhados por dia.

 

Divulgação Coordenada

 

A CPR divulgou suas descobertas ao WhatsApp em 10 de novembro de 2020. O WhatsApp verificou e reconheceu o problema de segurança, tendo lançado uma correção na versão 2.21.2.13, destacando a vulnerabilidade CVE-2020-1910 em sua atualização de Aviso de Segurança de fevereiro .

 

“Com mais de 2 bilhões de usuários ativos, o WhatsApp pode ser um alvo atraente para atacantes e hackers. Assim que descobrimos a vulnerabilidade de segurança, relatamos rapidamente nossas descobertas ao WhatsApp, que foi cooperativo e colaborativo ao emitir uma correção. O resultado de nossos esforços coletivos é um WhatsApp mais seguro para usuários em todo o mundo”, afirma Oded Vanunu, head de Pesquisa de Vulnerabilidades de Produtos na Check Point Software Technologies.

 

Declaração do WhatsApp

 

“Trabalhamos regularmente com pesquisadores de segurança para melhorar as inúmeras maneiras como o WhatsApp protege as mensagens das pessoas e apreciamos o trabalho que a Check Point Software faz para investigar cada ponta de nosso aplicativo. As pessoas não devem ter dúvidas de que a criptografia de ponta a ponta continua funcionando como planejado e as mensagens das pessoas permanecem seguras e protegidas. Este relatório envolve várias etapas que um usuário teria que seguir e não temos nenhuma razão para acreditar que os usuários teriam sido afetados por este bug. Assim, mesmo os cenários mais complexos que os pesquisadores identificam podem ajudar a aumentar a segurança aos usuários. Como acontece com qualquer produto de tecnologia, recomendamos que os usuários mantenham seus aplicativos e sistemas operacionais atualizados, baixem atualizações sempre que estiverem disponíveis, relatem mensagens suspeitas e entrem em contato conosco se tiverem problemas com o WhatsApp”.

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Nova cepa de malware é estudada após ataque APIs Docker expostas

Estudo descobr euma nova cepa de malware que tem como alvo APIs Docker expostas, com capacidades de infecção expandidas. Ele...
Security Report | Overview

Explorações com IA são identificadas em pesquisa após violar vulnerabilidades

Pesquisadores analisaram a nova estrutura de exploração com IA, a qual permite que agentes maliciosos acessem vulnerabilidades críticas, forçando as...
Security Report | Overview

Grupo Pão de Açúcar revela estratégia para proteção digital contra ataques cibernéticos

A solução é resultado de parceria entre empresas, ela é reconhecida pela capacidade de detecção, prevenção e recuperação frente a...
Security Report | Overview

Estratégia de brushing é usada para fraudes em operações e-commerce, mostra análise

Relatório revela que diversas fraudes podem começar em uma entrega após a compra não realizada em e-commerce, o "brushing" é...