A equipe da ISH Tecnologia, empresa de capital 100% nacional especializada em cibersegurança, infraestrutura crítica e nuvens blindadas, em conjunto com a L1 Smart Solutions, encontrou uma vulnerabilidade crítica no Whatsapp web, desktop e no app da Windows Store.
Por meio desta vulnerabilidade, o atacante pode ter acesso ao contexto de mensagens, fotos e conteúdos compartilhados na conversa para uma personificação perfeita do alvo e, desta forma, obter vantagens.
Lierte Bourguignon, CSO na ISH Tecnologia destaca que "em nossa atividade conjunta com a L1, percebemos que esta vulnerabilidade, além de poder ser explorada de uma maneira muito simples, tem uma rastreabilidade praticamente inexistente. Este funcionamento inadequado do Whatsapp dá brechas para o processo que chamamos de weaponizing, que, de forma resumida, consiste em transformar um comportamento não necessariamente malicioso em algo com potencial de gerar dano, transformando-o em uma arma. E no nosso processo identificamos todos estes elementos, elevando o grau de risco para crítico."
"Apesar de simples a falha é poderosa e permite que atacantes com relativo baixo conhecimento tenham acesso a dados, contatos e mensagens sem a necessidade de qualquer confirmação, inclusive para as contas que possuam autenticação de dois fatores habilitada", afirma Julio Eduardo Martins, Diretor de Engenharia da L1 Smart Solutions
Não é possível dar muitos detalhes sobre a vulnerabilidade pela facilidade de ser explorada, mas o atacante terá mais facilidade de explorá-la se tiver acesso ao computador do usuário. Entretanto, isso não quer dizer que só seja possível de explorá-la localmente.
Remotamente, o ataque será um pouco mais complexo, mas executando uma combinação de técnicas e táticas (escalação de privilégio, acesso remoto) seria possível explorar a vulnerabilidade e obter acesso ao Whatsapp do usuário sem que ele perceba.
"É importante ressaltar que esta falha não está no aplicativo dos celulares, e sim na arquitetura de funcionamento do Whatsapp Web e nos aplicativos disponibilizados para PC", afirma Bourguignon.
A ISH Tecnologia, de maneira responsável, já iniciou um processo de informar a vulnerabilidade nos canais adequados do Facebook, empresa ao qual detém a propriedade intelectual do aplicativo. "Nossa recomendação no momento é utilizar o Whatsapp Web e aplicativos para PC apenas enquanto estiver em frente ao computador, até que o Facebook corrija a falha", conclui Bourguignon.
