Embora sejam conhecidos por criptografar mensagens em trânsito, aplicativos como o WhatsApp e o Telegram podem nem sempre manter os arquivos seguros depois deles chegarem ao seu telefone. Pesquisadores da Symantec mostraram que hackers podem se aproveitar de um app malicioso para alterar sutilmente os arquivos enviados pelas plataformas de mensagem.

Isso acontece porque, por exemplo no Android, você pode optar por salvar uma foto na galeria do celular. Assim, você pode optar por salvá-la no armazenamento interno, acessível apenas pelo aplicativo, ou no externo, com a capacidade de ser amplamente acessada por outros aplicativos. O WhatsApp, por padrão, armazena mídia no armazenamento externo, e o Telegram faz isso quando o recurso “Salvar na Galeria” do aplicativo está ativado.

Por essa razão, aplicativos maliciosos que atacam o armazenamento externo podem conseguir acesso às mídias do WhastApp ou do Telegram. Portanto, se um usuário fizer o download de um app malicioso, por exemplo, e receber uma foto no WhatsApp, um hacker poderia manipular a imagem sem que o destinatário perceba. Um hacker poderia, teoricamente, alterar também uma mensagem multimídia que está sendo enviada.

Os pesquisadores chamam o ataque de “Media File Jacking”. De muitas maneiras, é um problema conhecido, que resulta da necessidade de equilibrar privacidade e acessibilidade nos aplicativos de mensagens no Android. Ao usar o armazenamento externo, que é amplamente usado, os aplicativos são mais compatíveis uns com os outros, permitindo que imagens e outros dados sejam movidos com mais liberdade. Mas a praticidade vem com o preço caro de estar sujeito a ataques.

Um porta-voz do WhatsApp disse que mudar seu sistema de armazenamento limitaria a capacidade do serviço de compartilhar arquivos de mídia e até mesmo introduzir novos problemas de privacidade. “O WhatsApp segue as práticas atualmente recomendadas pelos sistemas operacionais para armazenamento de mídia e espera fornecer melhorias de acordo com o desenvolvimento contínuo do Android”. O Telegram não comentou sobre o assunto.

Mas, vale lembrar que além de serem aplicativos de mensagens, o WhatsApp e o Telegram prometem privacidade e segurança dos dados.”No entanto, como mencionamos no passado, nenhum código está imune a vulnerabilidades de segurança”, disseram os pesquisadores.

Via: The Verge