A vulnerabilidade encontrava-se na ferramenta de edição de imagem presente no próprio WhatsApp, tendo já sido reportada à empresa que prontamente corrigiu a situação.
O problema parecia estar relacionado com a colocação de filtros nas imagens recorrendo à ferramenta de edição da app de mensagens.
Falha de segurança no WhatsApp
A Check Point Research detetou a presença da falha no programa de edição de imagens, mais propriamente na adição de filtros, e reportou o problema logo de seguida à empresa. Foi então lançada uma atualização de segurança para resolver a falha de segurança encontrada.
Estima-se que, se fosse bem explorada, esta falha podia levar a que mais de 2 mil milhões de pessoas tivessem a sua informação pessoal em risco, uma vez que os atacantes poderiam aceder a informação sensível armazenada na memória do WhatsApp.
O problema, segundo descreve a empresa de segurança, foi descoberto durante o processo de escolher os filtros para uma imagem. Ao alternar entre os diversos filtros oferecidos pela aplicação, durante a edição de um ficheiro GIF, levava o WhatsApp a ir abaixo.
Ao achar estranho este comportamento, a Check Point investigou mais a fundo e foi detetado que um desses colapsos da aplicação era descrito como sendo um efeito de corrupção de memória. Logo de seguida, foi enviado um relatório ao WhatsApp a informar da vulnerabilidade e a empresa identificou o problema como algo fora dos limites de leitura e escrita.
A falha não seria propriamente fácil de explorar pois implicava que o atacante aplicasse determinados filtros de imagem a um certo tipo de imagens trabalhadas, permitindo posteriormente que a imagem fosse enviada.
É estimado que, por dia, são enviadas mais de 55 mil milhões de mensagens através do WhatsApp, sendo que entre ela 4,5 mil milhões são fotos ou vídeos.
Em comunicado, a empresa agradece a colaboração que tem com diversas empresas de segurança, incluindo a Check Point, e assegura que “as pessoas não devem duvidar que a encriptação ponto-a-ponto continua a funcionar como pretendido, e que as suas mensagens se mantém seguras e protegidas.”
A empresa WhatsApp declara ainda que “não temos quaisquer razões para acreditar que os utilizadores poderiam ser impactados por este bug.”
