Sendo uma das plataformas de mensagens mais usadas na Internet, o WhatsApp é constantemente escrutinado nos muitos dos seus pontos de segurança. Uma destas avaliações veio agora mostrar que a versão Windows do WhatsApp tem uma falha grave de segurança que a Meta parece não querer resolver.
WhatsApp para Windows tem uma falha de segurança
Tal como muitos outros serviços, o WhatsApp tem medidas de segurança fortes no que toca aos ficheiros recebidos. Bloqueia muitos dos potencialmente mais perigosos, garantindo assim a proteção dos utilizadores. A verdade é que há falhas presentes, como agora se descobriu.
Um problema de segurança na versão mais recente do WhatsApp para Windows permite o envio de anexos em Python e PHP que são executados sem qualquer aviso quando o destinatário os abre. Para o ataque ser bem-sucedido, o Python precisa de estar instalado, um pré-requisito que pode limitar os alvos a programadores de software, investigadores e utilizadores avançados.
O investigador de segurança Saumyajeet Das encontrou a vulnerabilidade enquanto experimentava tipos de ficheiros que poderiam ser anexados às conversas do WhatsApp para ver se a aplicação permite algum dos mais complicados. Das disse ter encontrado três tipos de ficheiros que o cliente WhatsApp não bloqueia: .PYZ (aplicação Python ZIP), .PYZW (programa PyInstaller) e .EVTX.
Meta parece não querer resolver este problema
Testes posteriores confirmaram este problema, mas mostraram outra falha igualmente grave. O WhatsApp também não bloqueia a execução de scripts PHP. Se todos os recursos estiverem presentes, tudo o que o destinatário tem de fazer é clicar no botão “Abrir” no ficheiro recebido e o script será executado.
Saumyajeet Das reportou o problema à Meta no dia 3 de junho. A empresa respondeu no dia 15 de julho dizendo que o problema já tinha sido reportado por outro investigador e já deveria ter sido corrigido. A empresa explicou ainda que o WhatsApp tem um sistema para avisar quando se recebem mensagens de utilizadores que não constam dos seus contactos ou que têm números de telefone registados noutro país.
Parece claro que a Meta estará a ignorar este problema de segurança do WhatsApp. Ainda que existam medidas de segurança que possam de forma básica proteger os utilizadores, este problema de segurança é real e pode ser explorado. A recomendação é, como sempre, um cuidado extremo ao abrir ficheiros recebidos, mesmo de contactos conhecidos.