Falha crítica no WhatsApp permitia o acesso a arquivos no PC da vítima

Bug, que já foi corrigido, afetava o WhatsApp Web e também os apps para Windows e Mac
Equipe de Criação Olhar Digital05/02/2020 18h36

20191031123813
Publieditorial

O pesquisador de segurança Gal Weizman anunciou a descoberta de uma falha grave de segurança no WhatsApp, que poderia permitir a um criminoso o acesso a arquivos no PC de uma vítima usuária do WhatsApp Web ou do app para Windows e Mac.

O bug, identificado como CVE-2019-18426, tira proveito de uma vulnerabilidade de redirecionamento aberto que pode levar a ataques XSS (cross-site scripting) iniciados através de uma mensagem especialmente preparada enviada para a vítima. A falha também tornava possível modificar o “preview” do link que aparece junto com a mensagem, induzindo a vítima a clicar no link.

Ao clicar na mensagem, a vítima abre as portas para que o malfeitor execute código remotamente em sua máquina, o que inclui a possibilidade de roubo de informações (como a leitura de arquivos no HD).

A falha foi reportada por Weizman ao Facebook no final do ano passado, e já foi corrigida tanto nos aplicativos quando no WhatsApp Web. Por sua descoberta, Weizman recebeu uma recompensa de US$ 12.500 (cerca de R$ 53 mil).

Fonte: The Hacker News