Últimas Notícias

WhatsApp tinha falha que travava app e podia permitir invasão

Já corrigida, falha podia travar o WhatsApp ou até permitir que o aplicativo fosse comprometido em uma simples chamada de vídeo

Imagine-se atendendo a uma chamada de vídeo no WhatsApp e, logo em seguida, perceber que a sua conta foi invadida por um hacker. Terrível, não? Por algum tempo, os aplicativos do serviço para Android e iOS tinham uma falha que podia facilitar esse tipo de ataque, ainda que as chances fossem pequenas. De todo modo, o problema foi corrigido.

Presumivelmente, um bug como esse pode ser usado para espalhar malwares entre os seus contatos ou permitir que arquivos pessoais sejam acessados a partir do aplicativo, só para dar alguns exemplos.

problema foi revelado por Natalie Silvanovich, pesquisadora do Project Zero, iniciativa do Google que descobre falhas de segurança em softwares, comunica os responsáveis do problema e lança um alerta público caso uma correção não seja liberada em tempo hábil.
De acordo com Silvanovich, a falha ocorria quando o usuário recebia um pacote RTP (sigla para Real-time Transport Protocol, um padrão para envio de áudio e vídeo) malicioso que causava um erro de memória corrompida. Com isso, o WhatsApp travava e fechava repentinamente.

Tavis Ormandy, também membro do Project Zero, explicou que o problema não terminava aí. Ele alertou para a possibilidade de o bug ser explorado para comprometer completamente a conta da vítima, bastando que ela atendesse à chamada de vídeo com o pacote malicioso para correr o risco de ficar exposta.


Responsável pelo WhatsApp, o Facebook não demorou a liberar as atualizações. O aplicativo para Android foi corrigido em 28 de setembro. Já a versão para iOS teve a correção liberada no último dia 3. A versão web do WhatsApp não era afetada.

Houve um intervalo de aproximadamente um mês entre a notificação e a correção do problema. O Facebook afirma não ter registrado casos de usuários afetados pela falha durante esse período.


Com informações: Tecnoblog The RegisterZDNet.

Nenhum comentário