Suposta imagem era na verdade técnica hacker que permitia roubo de contas no WhatsApp e Telegram. |
Pesquisadores da Check Point Security anunciaram a descoberta de um ataque no WhatsApp e Telegram em suas versões web, capaz de enganar usuários com malware disfarçado em uma imagem enviada através do chat. A técnica revelada se mostrou eficaz mesmo com a criptografia ponta a ponta adotada pelos serviços.
Para mostrar a técnica, os pesquisadores criaram uma imagem que pareceria normal na visualização pelo aplicativo, mas que direciona as vítimas para uma página HTML com malware. Uma vez carregada, a página rouba todos os dados armazenados localmente, permitindo que os invasores consigam sequestrar a conta do usuário.
Como explica Oded Vanunu, da Check Point, o ataque permite até acessar fotos compartilhadas com a vítima anteriormente.
"Com o simples envio de uma foto de aparência inocente, um atacante pode ganhar controle sobre a conta, acessar o histórico de mensagens, todas as fotos que foram compartilhadas e enviar mensagens em nome do usuário."
A vulnerabilidade foi relatada para ambos os serviços em 8 de março de 2017, e as duas empresas mudaram seus protocolos de validação de upload de arquivo para proteger seus usuários contra ataques como este.
No WhatsApp, um usuário teria que abrir intencionalmente a imagem recebida, o que torna o exploit pouco prático para botnets ou agentes de vigilância em massa. A vulnerabilidade era um pouco mais difícil de se explorar no Telegram, pois exigia que o usuário alvo do ataque abrisse um vídeo em uma guia separada do Chrome para que o hack tenha efeito. Um representante do Telegram descreveu essa ação como "uma interação muito incomum do usuário".
Em um ataque no Telegram, o usuário não tem conhecimento que sua conta foi roubada já que a empresa permite manter tantas sessões ativas quanto você desejar, ao mesmo tempo.
Esse tipo de ataque foi possível porque o WhatsApp e o Telegram não têm como ler mensagens enviadas entre usuários, algo crucial da criptografia end-to-end. Nesse caso, isso pode ter facilitado a passagem da imagem maliciosa. Sem nenhum mecanismo para interceptar mensagens, é muito mais difícil procurar vírus ou outros ataques maliciosos enviados pelos aplicativos.