O pesquisador de segurança Gal Weizman anunciou a descoberta de uma falha grave de segurança no WhatsApp, que poderia permitir a um criminoso o acesso a arquivos no PC de uma vítima usuária do WhatsApp Web ou do app para Windows e Mac.
O bug, identificado como CVE-2019-18426, tira proveito de uma vulnerabilidade de redirecionamento aberto que pode levar a ataques XSS (cross-site scripting) iniciados através de uma mensagem especialmente preparada enviada para a vítima. A falha também tornava possível modificar o “preview” do link que aparece junto com a mensagem, induzindo a vítima a clicar no link.
Ao clicar na mensagem, a vítima abre as portas para que o malfeitor execute código remotamente em sua máquina, o que inclui a possibilidade de roubo de informações (como a leitura de arquivos no HD).
A falha foi reportada por Weizman ao Facebook no final do ano passado, e já foi corrigida tanto nos aplicativos quando no WhatsApp Web. Por sua descoberta, Weizman recebeu uma recompensa de US$ 12.500 (cerca de R$ 53 mil).
Fonte: The Hacker News