O WhatsApp revela 6 problemas de segurança que podem ter ‘hackeado’ seus usuários – Últimas Notícias
Propriedade do Facebook Whatsapp revelou seis vulnerabilidades no aplicativo que podem ter permitido que invasores enviem códigos maliciosos remotamente por meio de imagens, URLs e chamadas de vídeo. O WhatsApp afirma que essas vulnerabilidades foram corrigidas, mas não há informações oficiais sobre se os usuários foram afetados ou não.
O WhatsApp também teve um problema de validação de URL. “WhatsApp para Android antes de v2.20.11 e WhatsApp Business para Android antes da v2.20.2 poderia ter feito o destinatário de uma mensagem de adesivo contendo dados deliberadamente malformados carregar uma imagem de um URL controlado pelo remetente sem interação do usuário ”, explicou.
O WhatsApp também teve “um problema de validação de entrada” no WhatsApp Desktop versões anteriores a v0.3.4932. Este problema poderia ter permitido cross-site scripting ao clicar em um link de uma mensagem de localização ao vivo especialmente criada, dizia.
“Um estouro de buffer no WhatsApp para Android antes da v2.20.11 e no WhatsApp Business para Android antes da v2.20.2 poderia ter permitido uma gravação fora dos limites por meio de um fluxo de vídeo especialmente criado após receber e responder a uma chamada de vídeo maliciosa”, disse WhatsApp enquanto descreve outro problema com
Todas as seis vulnerabilidades são relatadas no site de aconselhamento de segurança do WhatsApp. Este site manterá um registro de todas as atualizações de segurança e Vulnerabilidades e Exposições Comuns (CVE). O objetivo deste site é principalmente promover o WhatsApp como uma entidade transparente e também ajudar os pesquisadores de segurança a entender melhor os problemas e bugs. Além de explicar os detalhes da vulnerabilidade, o WhatsApp permite que os usuários saibam como certos bugs podem ter sido usados por invasores. Ele esclarece ainda que “as descrições do CVE têm o objetivo de ajudar os pesquisadores a entender os cenários técnicos e não implica que os usuários foram afetados dessa maneira”.
De acordo com o WhatsApp, um bug agora identificado como CVE-2020-1894 poderia ter permitido a execução arbitrária de código ao reproduzir uma mensagem push to talk especialmente criada. Isso foi causado devido a um estouro de gravação de pilha no WhatsApp para Android antes da v2.20.35 e no WhatsApp para iPhone antes da v2.20.30. O mesmo problema estava lá nos respectivos aplicativos WhatsApp Business também.
O WhatsApp também teve um problema de validação de URL. “WhatsApp para Android antes de v2.20.11 e WhatsApp Business para Android antes da v2.20.2 poderia ter feito o destinatário de uma mensagem de adesivo contendo dados deliberadamente malformados carregar uma imagem de um URL controlado pelo remetente sem interação do usuário ”, explicou.
O WhatsApp também teve “um problema de validação de entrada” no WhatsApp Desktop versões anteriores a v0.3.4932. Este problema poderia ter permitido cross-site scripting ao clicar em um link de uma mensagem de localização ao vivo especialmente criada, dizia.
“Um estouro de buffer no WhatsApp para Android antes da v2.20.11 e no WhatsApp Business para Android antes da v2.20.2 poderia ter permitido uma gravação fora dos limites por meio de um fluxo de vídeo especialmente criado após receber e responder a uma chamada de vídeo maliciosa”, disse WhatsApp enquanto descreve outro problema com
Todas as seis vulnerabilidades são relatadas no site de aconselhamento de segurança do WhatsApp. Este site manterá um registro de todas as atualizações de segurança e Vulnerabilidades e Exposições Comuns (CVE). O objetivo deste site é principalmente promover o WhatsApp como uma entidade transparente e também ajudar os pesquisadores de segurança a entender melhor os problemas e bugs. Além de explicar os detalhes da vulnerabilidade, o WhatsApp permite que os usuários saibam como certos bugs podem ter sido usados por invasores. Ele esclarece ainda que “as descrições do CVE têm o objetivo de ajudar os pesquisadores a entender os cenários técnicos e não implica que os usuários foram afetados dessa maneira”.
Source link
