Uma simples foto poderia hackear sua conta do WhatsApp e Telegram

Da próxima vez que alguém lhe enviar uma foto de um gato bonito ou de uma linda garota no WhatsApp ou Telegram, tenha cuidado ao clicar na imagem. Ela pode hackear sua conta em segundos.

Recentemente, uma nova vulnerabilidade de segurança foi corrigida nos dois serviços populares de mensagens, WhatsApp e Telegram. Essa vulnerabilidade poderia ter permitido que os hackers assumissem completamente a conta de usuário apenas com uma foto. A vulnerabilidade só afetou as versões do navegador do WhatsApp e do Telegram.

De acordo com os pesquisadores de segurança da empresa Checkpoint, a vulnerabilidade residia na maneira como os serviços de mensagens processam imagens e arquivos multimídia sem verificar se eles poderiam ter um código malicioso escondido.

Para explorar a falha, tudo que um hacker precisaria fazer era enviar o código malicioso escondido dentro de uma foto de aparência inocente. Uma vez que a vítima clicou na imagem, o hacker teria acesso total aos dados armazenados do WhatsApp ou Telegram da vítima.

Os pesquisadores forneceram uma demonstração em vídeo que mostra o ataque em ação.

Telegram

O WhatsApp e Telegram usam criptografia de ponta a ponta para garantir que as mensagens não sejam interceptadas e lidas por ninguém, exceto pelo remetente e receptor.

No entanto, essa mesma medida de segurança de criptografia de ponta a ponta também foi a fonte dessa vulnerabilidade.

Como as mensagens estavam criptografadas do lado do remetente, o WhatsApp e o Telegram não tinham ideia ou uma forma de saber que o código mal-intencionado estava sendo enviado ao receptor e, portanto, não conseguiram impedir que o conteúdo fosse executado.

“Como as mensagens foram criptografadas sem serem validadas primeiro, o WhatsApp e o Telegram ficaram ‘cegos’ para o conteúdo, tornando-os assim incapazes de impedir que o conteúdo malicioso fosse enviado”, escrevem os pesquisadores em uma postagem no blog.

O WhatsApp e Telegram já corrigiram a vulnerabilidade, o WhatsApp no último dia 8 de março, enquanto o Telegram corrigiu o problema na última segunda-feira.

Como as correções foram aplicadas nos servidores, os usuários não precisam atualizar nenhum aplicativo para se protegerem do ataque; Em vez disso, eles só precisam reiniciar o navegador.

Depois de corrigir essa falha, o conteúdo das versões Web do WhatsApp e do Telegram serão validados antes que a criptografia de ponta a ponta entre em cena, permitindo que arquivos mal-intencionados sejam bloqueados.