WhatsApp e Telegram corrigem falha que permitia invadir conta com uma única foto
Apps não checavam se conteúdos recebidos continham códigos maliciosos ou não.
tsApp e Telegram corrigiram falhas em seus populares aplicativos de mensagens após pesquisadores de segurança mostrarem que podiam tomar o controle das contas dos usuários por meio de uma imagem.
Pesquisadores da Check Point Software Technologies descobriram problemas
com a forma como os dois aplicativos processavam alguns tipos de arquivos:
os apps não verificavam se havia ou não algum código ativo que pode ser malicioso.
A Check Point publicou vídeos demonstrando os ataques. Assista ao ataque ao WhatsApp e ao golpe ao Telegram.
As falhas em apps de bate-papo são menos comuns do que em softwares para computadores. Os serviços móveis são frequentemente usados por causa de sua criptografia pesada, que tem sido criticada por algumas autoridades.
Os pesquisadores conseguiram enviar arquivos com código malicioso para as versões baseadas na web dos dois apps ao fazê-los parecer algo diferente, como uma
imagem. No caso do WhatsApp, uma vez aberto pelo destinatário, o código permitiu
aos pesquisadores entrar no armazenamento local do usuário e, em seguida, acessar
a conta dele. A partir daí, eles poderiam ter enviado o mesmo ataque malicioso para
todos os contatos dele.
A falha do Telegram foi muito mais sutil e exigiu um comportamento "muito incomum"
da vítima, como clicar com o botão direito do mouse em um vídeo e abrir uma nova
guia, disse o porta-voz da Check Point, Markus Ra. Não há provas de que ataques semelhantes tenham sido realmente utilizados contra os produtos de qualquer das empresas, disse ele.
"Quando a Check Point informou o problema, tratamos da questão em um dia e
lançamos uma atualização do WhatsApp para a web", disse Anne Yeh, porta-voz
da empresa, unidade do Facebook. "Para garantir que você está usando a versão
mais recente, reinicie o navegador."
tsApp e Telegram corrigiram falhas em seus populares aplicativos de mensagens após pesquisadores de segurança mostrarem que podiam tomar o controle das contas dos usuários por meio de uma imagem.
Pesquisadores da Check Point Software Technologies descobriram problemas
com a forma como os dois aplicativos processavam alguns tipos de arquivos:
os apps não verificavam se havia ou não algum código ativo que pode ser malicioso.
A Check Point publicou vídeos demonstrando os ataques. Assista ao ataque ao WhatsApp e ao golpe ao Telegram.
As falhas em apps de bate-papo são menos comuns do que em softwares para computadores. Os serviços móveis são frequentemente usados por causa de sua criptografia pesada, que tem sido criticada por algumas autoridades.
Os pesquisadores conseguiram enviar arquivos com código malicioso para as versões baseadas na web dos dois apps ao fazê-los parecer algo diferente, como uma
imagem. No caso do WhatsApp, uma vez aberto pelo destinatário, o código permitiu
aos pesquisadores entrar no armazenamento local do usuário e, em seguida, acessar
a conta dele. A partir daí, eles poderiam ter enviado o mesmo ataque malicioso para
todos os contatos dele.
A falha do Telegram foi muito mais sutil e exigiu um comportamento "muito incomum"
da vítima, como clicar com o botão direito do mouse em um vídeo e abrir uma nova
guia, disse o porta-voz da Check Point, Markus Ra. Não há provas de que ataques semelhantes tenham sido realmente utilizados contra os produtos de qualquer das empresas, disse ele.
"Quando a Check Point informou o problema, tratamos da questão em um dia e
lançamos uma atualização do WhatsApp para a web", disse Anne Yeh, porta-voz
da empresa, unidade do Facebook. "Para garantir que você está usando a versão
mais recente, reinicie o navegador."
Post a Comment