Antony Peel, 12/08/2024. Traduzido por Arturo Baca
Segurança do WhatsApp
Nossa principal preocupação e de nossos usuários, é a segurança e privacidade nas comunicações com o WhatsApp
73
Problemas de segurança
Histórico
2024
27-07-2024
WhatsApp para Windows permite a execução de scripts Python e PHP sem qualquer tipo de aviso
No início de junho de 2024, o pesquisador de segurança Saumyajeet Das encontrou uma vulnerabilidade na versão desktop do WhatsApp Messenger. Ao experimentar enviar e receber diferentes tipos de anexos, ele verificou se um usuário recebia um arquivo .PHP. PYZ .PYZW ou .EVTX por meio do cliente WhatsApp para PC, você pode executá-lo simplesmente pressionando o botão Abrir sem qualquer tipo de aviso prévio a esse respeito, a execução de outras extensões como .EXE, .COM, .SCR, . DLL, .HTA ou .VB se estiverem bloqueados.
Como essas extensões não são encontradas na lista de bloqueio do aplicativo da Meta, facilita a distribuição de scripts em Python e PHP que são executados simplesmente abrindo-os, o que pode causar a execução remota de códigos maliciosos, desde que o computador alvo do ataque tenha Python instalado. No final de julho de 2024, a Meta ainda não havia corrigido essa falha de segurança.
Fonte:
2022
16-11-2022
Um roubo massivo de dados do WhatsApp coloca quase 500 milhões de números de telefone à venda
O 16 de novembro de 2022 apareceu em um conhecido fórum de pirataria anunciando a venda de 487 milhões de números de telefone pertencentes a usuários do WhatsApp. Esses usuários seriam de 84 países diferentes, sendo a maioria do Egito (45 milhões), Itália (35 milhões), Estados Unidos (32 milhões), Arábia Saudita (29 milhões), França (20 milhões) e Turquia (20 milhões). Na Espanha o número de afetados seria cerca de 10 milhões de usuários.
Fontes confiáveis compararam os dados com uma amostra fornecida pelos vendedores e puderam confirmar que eram números de contas de usuários reais do WhatsApp. Suspeita-se que os dados possam ter sido obtidos através da técnica de scraping, um procedimento que vai contra os termos e condições de uso do WhatsApp, embora o responsável por isso não clarificou como teria obtido esses dados nem o método utilizado.
Fonte:
22-09-2022
Un estouro de buffer no WhatsApp pode levar à execução remota de código em uma videochamada já estabelecida
A vulnerabilidade CVE-2022-36934 foi detectada em 22 de setembro de 2022, classificada como um bug crítico, e corrigido em 23 de setembro. Ele afetou as versões do WhatsApp para Android anteriores a 2.22.16.2 e as versões do iPhone anteriores a 2.22.16.12. Também afetou os apps móveis do WhatsApp Business anteriores às versões 2.22.16.12 em ambos os sistemas operacionais. Por meio dessa falha de segurança um invasor malicioso poderia manipular um input da função Video Call Handler causando um estouro de buffer permitindo assim a execução remota de código durante a chamada de video em questão.
22-09-2022
Um estouro de buffer no WhatsApp pode levar à execução remota de código ao receber um arquivo de vídeo adulterado
A vulnerabilidade CVE-2022-27492 foi detectada em 22 de setembro de 2022, classificada como altamente perigosa, e corrigido apenas um dia depois afetando versões do Android anteriores a 2.22.16.2 e versões do iPhone anteriores a 2.22.15.9. Por meio dessa falha de segurança um invasor malicioso poderia manipular um input da função Video File Handler de um vídeo que enviado posteriormente pelo WhatsApp permitindo que ele executasse um código remoto no dispositivo móvel do destinatário.
02-02-2022
Um invasor pode provocar a leitura fora dos limites enviando um pacote RTCP com formato errado durante uma chamada
RTCP são as siglas de Real Time Control Protocol, um protocolo de comunicação normalmente usado para fazer chamadas e videochamadas entre usuários dos apps de comunicação como o WhatsApp. Nos primeiros dias do mês de fevereiro de 2022, foi detectada uma falha em um controle de link no código de análise do indicador RTCP, que é o responsável por informar sobre a qualidade do fluxo RTP, que realmente transporta os dados. Na prática, isso significava que um usuário poderia enviar um pacote RTCP com formato errado durante uma chamada em andamento e provocar a leitura de armazenamento dinâmico fora dos limites permitidos.
05-01-2022
Uma falha na lógica usada para o desenho do sistema de chamadas permitia que invasores em potencial forçassem o estouro de buffer
Call Handler é o nome de um componente de software usado pelo WhatsApp para fazer chamadas entre usuários. Ao manipular uma entrada pode-se em teoria ter provocado um estouro de buffer e permitido a escrita fora dos limites esperados.
2021
12-07-2021
Um erro de programação que envolvia uma verificação de limites ausentes no recurso de desfoque de imagem podia permitir a gravação fora dos limites em um erro de buffer com uma imagem maliciosa
O WhatsApp, através de suas alertas de segurança, divulgou em dezembro de 2021 a vulnerabilidade CVE-2021-24041 registrada pela primeira vez no mês de julho deste mesmo ano. A falha de segurança estava na função de desfoque de imagens, que é muito usada no app em todos os casos. Os atacantes em potencial, aproveitando um erro do código na verificação de limites associada a essa funcionalidade, podiam provocar a gravação fora dos limites e o estouro de buffer enviando uma imagem maliciosa. O bug atingia as versões do Android do app anteriores à 2.21.22.7 publicada em outubro de 2021, incluindo a versão Business.
11-06-2021
Um erro de validação de nomes de arquivo pode permitir que um invasor substitua os arquivos do app
Um erro no processo de validação de nomes de arquivo do WhatsApp Messenger poderia permitir um invasor comprometer a integridade e confidencialidade dos dados da vítima. Conhecida como uma vulnerabilidade como passagens de caminho, o problema aparece ao descompactar arquivos. A falta de validação nos nomes de arquivo durante o processo poderia permitir a substituição de arquivos mediante ataques de passagens de caminho, dando acesso a diretórios que deveriam estar proibidos. Trata-se de um ataque simples que pode ser executado remotamente e fácil de explorar, pois não precisa de nenhum tipo de verificação, embora sim seja necessária a interação com a vítima.
14-04-2021
Uma vulnerabilidade nas versões do WhatsApp Messenger para Android permite fazer ataques tipo Man-in-the-disk através de um arquivo HTML e do navegador Chrome
Uma falha na segurança permite coletar informações criptografadas do armazenamento externo de um usuário. Para isso, é enviado à vítima um arquivo HTML que uma vez aberto com o Chrome, aproveitando seu suporte para provedores de conteúdo executa o código. Nesse momento, o usuário terá acesso ao material criptografado TLS (em sessões de TLS 1.2 e 1.3) armazenado no cache, pois o WhatsApp salva os detalhes da chave de sessão de TLS em uma área do armazenamento externo desprotegida, levando ao comprometimento das comunicações e nossa conta, executar código remoto e extrair chaves do protocolo Noise usadas geralmente na criptografia de ponta-a-ponta das comunicações.
Fonte:
14-04-2021
Um erro na decodificação do áudio procedente das chamadas recebidas podia causar a escrita além dos limites possíveis e provocar o estouro da memória
Um invasor remoto poderia iniciar uma chamada de voz através do WhatsApp criada especificamente para provocar um estouro da memória durante o processamento, aproveitando uma falha no sistema de verificação dos limites. Provocando a escrita fora dos limites, acontece a falha do app. Nenhum detalhe técnico específico foi fornecido sobre a vulnerabilidade.
10-04-2021
Um erro de conceito no processo de login inicial e um simples e-mail para o endereço de suporte ao usuário permitem bloquear até a forma permanente das contas de outros usuários
Um usuário pode instalar um cliente de WhatsApp e iniciar o processo de identificação utilizando um número de telefone de uma terceira pessoa. Depois de várias tentativas mal sucedidas colocando códigos errados ou solicitando novos códigos constantemente (já que o código de verificação de 6 dígitos real chega sempre à vítima que pode estar alheia a tudo) O WhatsApp bloqueia o envio de novos códigos durante 12 horas. É nesse momento onde entra em jogo o segundo ponto fraco, pois o atacante poderia entrar em contato com o departamento de contas perdidas ou roubadas do WhatsApp e simplesmente mostrar o número de telefone da vítima, se fazendo passar por ela para bloqueá-la, aproveitando que se trata de uma plataforma de comunicação automatizada. Se, além disso, repetir a operação durante vários ciclos de 12 horas e a vítima não for capaz de recuperar o controle da conta entre eles, poderia bloquear de forma permanente a conta e forçar a vítima a entrar em contato direto com o WhatsApp para recuperá-la.
02-02-2021
Um problema na função de filtro de imagem pode causar a escrita fora dos limites e dar acesso à memória do WhatsApp no telefone da vítima
A empresa de segurança Check Point Research notificou ao WhatsApp em 10 de novembro de 2020 a existência de uma falha de segurança na função de filtro de imagem que poderia dar ao invasor acesso às informações armazenadas na memória do WhatsApp através da escrita fora dos limites. O ataque, que em qualquer caso requer da interação do usuário, é realmente complexo de executar e não há registro de sua execução, ele usa uma imagem GIF pré-definida que é enviada à vítima. Quando ela edita a imagem aplicando alguns filtros como desfoque, os pixels da imagem original são modificados, um processo complexo onde são lidos, manipulados e sobrescritos dados. O erro acontece na hora de encaminhar o resultado ao remitente.
O erro, do qual se conheceram mais detalhes técnicos em 2 de setembro de 2021, foi em teoria corrigido a partir da versão 2.21.1.13 do app publicado em fevereiro de 2021, inserindo dois novos processos de verificação na fonte da imagem e o filtro de imagem relacionado com a falha.
Fonte:
2020
05-11-2020
O bug de uma biblioteca podia corromper a memória, ativar a execução de código e provocar outras bugs no app
Um encadeamento de diferentes eventos conseguiu provocar a corrupção da memória no app, bugs e a execução de código malicioso. O bug estava relacionado com um problema em uma biblioteca de registro usada nas versões anteriores à 2.20.111 do WhatsApp Messenger e o WhatsApp Business para iOS. Para provocar o bug eram necessárias diferentes suposições em uma determinada ordem, entre eles receber um sticker animado enquanto colocamos uma chamada de vídeo em espera.
05-11-2020
Uso de Siri para manipular WhatsApp iOS mesmo com a tela bloqueada
Um problema com a autorização errada do uso da função de bloqueio da tela nas versões de iOS do WhatsApp Messenger e WhatsApp Messenger Business anteriores à versão 2.20.100 era possível usar o Siri para manipular o aplicativo. Até mesmo depois de bloquear o telefone.
06-10-2020
Execução de código arbitrário para causar um estouro de pilha
Ao analisar o conteúdo de cabeçalhos de extensão RTP era possível executar o código arbitrário e causar um estouro na pilha do WhatsApp.
06-10-2020
Estouro de buffer com vídeos locais codificados com um determinado formato de áudio
Ao processar vídeos locais malformados com transmissões de áudio E-AC-3 era possível ativar a escrita fora dos limites e causar um estouro de buffer.
06-10-2020
Apps maliciosos com possível acesso ao conteúdo anexado
Um erro nos URI do Media ContentProvider (identificador uniforme de recursos) usados na hora de abrir anexos em apps de terceiros fez com que eles fossem gerados sequencialmente, o que significa que um app malicioso podia abrir o arquivo e adivinhar os URI de arquivos anexos abertos anteriormente.
06-10-2020
Sobrescrever arquivos de diretório transversal
Um erro na validação de rota ao enviar arquivos DOCX, PPTX ou XLX feitos como arquivos anexos nas mensagens permitia sobrescrever arquivos de diretório transversal.
06-10-2020
Negação de serviço através de arquivos DOCX, PPTX e XLSX
Ao descompactar um documento DOCX, PPTX ou XLSX regular do pacote Office era possível causar uma negação de serviço como resultado da falta de memória, para o qual era necessário que o número do telefone que enviava o arquivo não estivesse na nossa lista de contatos.
06-10-2020
Algumas pesquisas podiam abrir o Google usando HTPP simples
Um buf na hora de fazer buscas rápidas de uma mensagem muito encaminhada podia enviar ao usuário ao serviço de buscas do Google usando um HTTP simples.
06-10-2020
Bloqueio do app enviando mensagens longas
Enviando uma mensagem de grande volume que tenha um URL, era possível bloquear o cliente do iOS fazendo que o app travasse durante o processamento da mensagem.
03-09-2020
Execução de código malicioso através de mensagens de voz push to talk
Um invasor podia ter usado a função push to talk do envio de mensagens para executar o código malicioso arbitrário.
03-09-2020
Permitia a escrita fora dos limites nos dispositivos de 32 bits
Através das videochamadas um usuário podia ativar A escrita fora dos limites em dispositivos de 32 bits.
03-09-2020
Adesivos vinculados aos URLs sem permissão
Um problema de validação de URLs permitia enviar adesivos com links URL que eram abertos automaticamente sem a permissão do usuário.
03-09-2020
Omissão de funções de segurança no WhatsApp Desktop
Um problema de omissão de funções de segurança nas versões do WhatsApp Desktop anteriores à v0.3.4932 poderia ter permitido a fuga da sandbox no Electron e o escoamento de privilégios combinado com uma vulnerabilidade de execução remota de código no processo de renderização da sandbox.
03-09-2020
Estouro de buffer
Ele permitia a escrita fora dos limites através de transmissões de vídeo feitas para atuar quando respondidos.
03-09-2020
Problema de validação de entrada
Através das mensagens de localização ao vivo, um invasor podia ter causado o cross-site scripting através de um link.
21-01-2020
Vulnerabilidade de visualização de links usando Desktop e iPhone
Uma vulnerabilidade que combina WhatsApp Desktop e o WhatsApp para iPhone torna possível, mediante um clique da vítima visualizando o link feito para isso, criar sequências de comandos entre sites e ler arquivos locais.
Fonte:
2019
17-12-2019
O app trava em membros do grupo
Através do WhatsApp Web, o Google Chrome e um serviço remoto em Python, o invasor pode modificar o nome do participante de um grupo e causar travamentos entrando em um loop infinito. A única solução era reinstalar o app, com a consequente perda de dados do grupo.
Fonte:
14-11-2019
Pirateria do app através de arquivos MP4
Através do envio para um contato e o posterior download de um arquivo MP4 juntos aos metadados, a memória era corrompida e o ataque DoS ou RCE era gerado. Os atacantes podiam espiar dados e roubar arquivos remotamente.
Fonte:
23-10-2019
Estouro de buffer em bibliotecas Android
É encontrado um erro de estouro de buffer de pilha em uma biblioteca do Android, especificamente libpl_droidsoroids_gif anterior à versão 1.2.19. que podia permitir que um invasor remoto execute código arbitrário e cause uma negação de serviço. O erro poderia afetar as versões do WhatsApp Messenger Android anteriores à versão 2.19.291.
Fonte:
03-10-2019
Execução de código remoto criando e enviando GIFs
Uma falha em uma biblioteca do Android relacionada com GIFs tinha uma vulnerabilidade dupla na função DDGifSlurp. Através desse buraco, invasores remotos podiam executar código e causar uma negação de serviço ao analisar GIFs especificamente feitos para essa finalidade.
Fonte:
27-09-2019
Ataques via etiquetas EXIF em imagens WEBP
Um invasor podia usar as etiquetas EXIF de imagens tipo WEBP para fazer uma escrita fora dos limites e sobrecarregar as bibliotecas de análise de mídia.
Fonte:
08-08-2019
Falha em código permite a manipulação de mensagens (II)
Embora o WhatsApp tenha relatado ter corrigido inicialmente relatada em agosto de 2018, os mesmos pesquisadores descobrem que o problema não foi resolvido e ainda é possível manipular mensagens e passá-las como verdadeiras.
Fonte:
16-07-2019
Falha na hora de fazer a validação de entrada correta
Um problema no processo de verificação e entrada permitia enviar arquivos maliciosos ao usuário que abriam com uma extensão errada.
Fonte:
15-07-2019
Media File Jackin
Detectado um bug no qual os arquivos de mídia do WhatsApp e Telegram eram visíveis um para outro através do armazenamento de cartões SD. Dessa forma, era possível um arquivo ou documento antes de ser enviado.
Fonte:
14-05-2019
Falha na segurança com prováveis ataques através de chamadas. Vulnerabilidade na pilha de buffer do WhatsApp VoiP. Execução remota de código mediante pacotes RTCP enviados para um número via ligações
Um bug de segurança permitia a espionagem através de ligações. Há suspeitas que a empresa de segurança cibernética NOS aproveitou o bug para oferecer uma ferramenta de espionagem comercial. Ao receber uma chamada e sem a necessidade de atendê-la, foi instalada um spyware. As ligações podiam deixar rastros. Jornalistas, dissidentes políticos, diplomatas e membros de governos diferentes foram vítimas do software conhecido como Pegasus. que o WhatsApp mais tarde confirmaria ter afetado por volta de 1.400 pessoas.
Fonte:
10-05-2019
Recuperação de mensagens enviadas anteriormente
Um erro na lógica de desenvolvimento permitia que alguém com acesso à conta recuperasse mensagens enviadas anteriormente. Em qualquer caso, era necessário conhecer os metadados dessas mensagens, que na teoria não estão publicamente disponíveis.
Fonte:
28-01-2019
Erro de pilha falhando o cálculo de dados transmitidos na hora de receber ligações
Erro de escrita fora do espaço destinado à pilha ao receber ligações, na designação da pilha não estavam sendo consideradas adequadamente a quantidade de dados que eram transmitidos.
Fonte:
28-01-2019
Estouro de pilha ao receber ligações no iOS
No WhatsApp para iOS, um bug no processo de verificação de tamanho ao analisar pacotes no remetente ao receber uma ligação pode causar um estouro baseado na pilha.
Fonte:
2018
10-10-2018
Memory heap overflow na hora de receber videochamadas
Problemas de implementação de RTP, permitem assumir o controle de um cliente através de videochamadas feita com esse propósito. Afeta o Android e iOS, não ao WhatsApp Web, pois usa o WebRTC para essa função.
07-08-2018
Falha em código permite a manipulação de mensagens
Uma brecha de segurança detectada por uma empresa externa permitia aos criminosos interceptar e manipular mensagens enviadas. O bug permitia alterar a resposta de um participante, citando mensagens de pessoas que não tinham escrito esses textos ou enviar mensagens para membros de grupos que, apesar de serem aparentemente de grupo, apenas eram visíveis por esse usuário.
Fonte:
31-05-2018
Falha no plugin de botões para compartilhar conteúdo
O plugin Ass Social Share Messenger Buttons WhatsApp and Viber 1.0.8 de MULTIDOTS para WordPress apresenta uma falha através do qual um invasor através do phishing ou engenharia social conseguir que o gerenciador de um site do WordPress mudasse a configuração do plugin através do Cross-Site Request Forgery (CSRF) em wp-admin/admin-post.php.
Fonte:
23-05-2018
Recepção de mensagens de contatos bloqueados
Os usuários nas redes sociais avisam que um usuário bloqueado pode seguir enviando mensagens. O erro parece estar relacionado com uma atualização dos clientes móveis do WhatsApp para Android e iPhone, e seria resolvido logo depois através de uma nova atualização.
28-01-2018
Erro nos cabeçalhos RPT
Uma análise errada dos cabeçalhos de extensão RTP tornou possível a leitura fora dos limites.
Fonte:
28-01-2018
Estouro de pilha ao receber ligações no Android
No WhatsApp para Android, uma falha no processo de verificação do tamanho na hora de analisar pacotes no remetente e ao receber uma ligação podia causar um estouro baseado na pilha.
Fonte:
2017
09-10-2017
Monitoramento de atividades dos contatos no WhatsApp
O pesquisador Rob Heaten descobre um bug no WhatsApp Web que permite monitorar a atividade de contatos. Usando uma extensão do Chrome, registrando as horas de conexão apesar de estar oculto e comparando as informações com as de outros contatos seria possível estabelecer diretrizes, rotinas e até conversas mantidas entre eles.
Fonte:
01-07-2017
Auto-convites para grupos
Pesquisadores alemães alertam sobre um bug na qual uma pessoa com acesso aos servidores do WhatsApp pode se convidar para chats de grupo. Do Facebook minimizaram o fato, pois como foi dito, é necessário ter acesso aos servidores, algo muito limitado, e também os participantes dos grupos podem ver que uma nova pessoa não convidada entrou no grupo. Também as mensagens enviadas anteriormente não têm acesso.
09-04-2017
Informação não removida do cartão SD e acessível para outros apps
O WhatsApp para Android não remove arquivos enviados e recebidos do cartão SD do dispositivo quando um chat é removido ou o app é desinstalado. Os dados do cartão SD são armazenados sem criptografia e podem ser acessados por outros aplicativos com permissões de acesso ao armazenamento. Segundo o Facebook, isso não é um erro. mas sim do funcionamento para permitir aos usuários exportar os dados.
15-03-2017
Roubo de conta através de fotos e vídeos
Uma vulnerabilidade permitiu enviar mensagens ou vídeos normais na pré-visualização, mas que tinham código HTML, capaz de carregar o malware através do navegador. Dessa forma, era possível ter total controle sobre a conta do usuário, ler suas mensagens, enviá-las ou, ver conteúdo de mídia. A vulnerabilidade foi relatada o 08 de março desse mesmo ano, uma semana antes. Quando foi tornado público, já havia sido solucionado.
Fonte:
13-01-2017
Falha na segurança permitia ler as mensagens
O pesquisador alemão Tobias Boelter descobre um bug na criptografia do app de ponta a ponta. Ao gerar as chaves de segurança através do protocolo Signal de Open Whysper Systems. Descobriu-se que o WhatsApp tem a capacidade de forçar a criação de novas chaves para usuários. Muitos especialistas em segurança acham que esse bug não é esse, e de fato, o The Guardian que publicou inicialmente o erro se retratou das suas declarações.
2016
02-08-2016
As conversas não são removidas
Depois da chegada da criptografia de mensagens um pesquisador achou um bug nas bibliotecas SQL que permitiria seguir o rastro das conversas removidas de nossos contatos. De acordo com análise só seria possível remover completamente uma conversa excluindo e reinstalando o app.
Fonte:
06-05-2016
Falha na criptografia de mensagens
Uma empresa russa de segurança de computadores descobre como é possível espiar conversas usando as falhas de segurança do protocolo SS7. Conectando-se ao nó da rede que atende ao terminal e aproveitando o erro podiam roubar o SMS de autenticação e substituir a identidade dos participantes. Isso podia acontecer sempre que fosse usada a configuração de segurança por padrão nesse momento, quando não estava ativada a opção "Mostrar notificações de segurança" nas configurações, que poderia ajudar alertar ao usuário a existência de um problema. Em qualquer caso, é mais um erro de protocolo que do WhatsApp.
2015
08-09-2015
Instalação de malwares em PC via WhatsApp Web e um cartão vCard
Usando o cliente web num PC, um invasor podia enviar um vCard contendo o código malicioso de um malware e instalá-lo diretamente no computador.
Fonte:
30-07-2015
Acesso a chats de outros em dispositivos iOS
Um estudante de engenharia de computação alerta que usando um iPhone e um computador Linux pode extrair arquivos enviados e recebidos junto com contatos.
Fonte:
30-05-2015
Roubo de conta através de outro dispositivo
Um bug no processo de identificação de usuários permitia que um invasor tivesse acesso à nossa conta. Instalando o WhatsApp em um segundo dispositivo, conhecendo o número de telefone da vítima e tendo acesso à seu aparelho, era possível roubar a conta. Para isso, era feita uma nova instalação com o número da vítima, era solicitada o código de verificação via ligação para seu celular que podemos responder sem desbloquear o telefone y usaremos esse código no segundo cliente. Até que a vítima possa recuperar o uso da sua conta, se passa uma quantidade variável de minutos que é possível de aproveitar para espiar todas as conversas.
Fonte:
26-05-2015
Um bug relacionado com caracteres reinicia o telefone
Um invasor remoto pode usar o CoreText para causar um ataque de negação de serviço usando texto Unicode. Através do envio de diversos caracteres que não eram corretamente assimilados pela mesma notifica notificação, a mensagem fazia reiniciar i aparelho.
Fonte:
13-05-2015
Pirateria de contas através do correio de voz
O processo de verificação do WhatsApp torna possível que uma pessoa que conhece o nosso número de celular possa roubar nossa conta se temos a caixa de chamadas ativa. Basta instalar o WhatsApp e iniciar o cadastro na hora que a vítima provavelmente estiver pendente do seu telefone. Ao não atender a chamada de verificação, o WhatsApp deixa a mensagem na caixa de voz se estiver ativa , uma secretaria que é possível ligar para conhecer o código de verificação e tomar o controle da conta.
Fonte:
29-01-2015
Um erro permite ver as fotos de usuários de contatos que não temos na agenda/as imagens removidas continuam sendo visíveis no WhatsApp Web
Indrajeet Buyhan descobre dois bugs de segurança e privacidade. Por um lado, mostra como as fotos de perfil dos usuários são visíveis mesmo não tendo o contato deles na nossa agenda. Qualquer um pode ver nossa foto mesmo tendo especificado isso nas configurações. O segundo erro está relacionado com a sincronização do WhatsApp Web e os clientes móveis: ao remover uma foto em uma conversa, ela fica embaçada e inacessível nos celulares, mas continua disponível na versão web do cliente.
Fonte:
2014
01-12-2014
Envio de mensagens capazes de corromper a conversa e forçar sua exclusão
Dois adolescentes descobrem um bug no qual enviando uma mensagem de texto com um jogo especial de caracteres de tamanho pequeno (apenas 2kb) provocava um erro no app, fazendo impossível acessar essa conversa. Não era um bug de segurança muito grave, mas permitia corromper qualquer conversa obrigando-a a ser removida e iniciar uma nova conversa. Foi corrigido na atualização 2.11.468.
Fonte:
17-04-2014
Envio de locais sem criptografia
Um grupo de pesquisadores da Faculdade de New Haven detectam uma falha na segurança na qual mensagens com a localização de um contato são enviadas sem criptografia, permitindo interceptar o conteúdo dessas mensagens e conhecer a posição real de um contato usando um ataque man-in-the, middle com programas como WireShark.
11-03-2014
Roubo do banco de dados do WhatsApp
Um engenheiro da computação holandês avisa que o banco de dados do WhatsApp fica armazenado no cartão SD dos terminais, e que qualquer app com acesso a esse cartão SD pode obter o arquivo. Em um processo transparente, os invasores são capazes de copiar o banco de dados e subi-la a um servidor. Esse banco de dados estava criptografado via SQLite3, mas era possível criptografá-la usando uma criptografia com um scrypt de Phyton e WhatsApp Xtract. Segundo o WhatsApp em nota divulgada dias depois, esses relatórios não passavam uma imagem real e eram exagerados: um uso responsável do software e do dispositivo, como em qualquer outra circunstância, deveria ser suficiente para evitar não ser vítimas de um ataque.
Fonte:
08-03-2014
Falha na segurança permitia falsificar mensagens
Dois pesquisadores apresentam na RootedCon 2014 uma prova de conceito que mostra como é possível falsificar mensagens do WhatsApp sem deixar rastros.
2013
22-11-2013
É possível saber a localização de um contato através de seu endereço IP
A introdução de uma nova função para baixar imagens vinculadas ao compartilhamento de links URL permitia a um invasor conhecer o endereço IP de uma pessoa e, portanto, sua localização. Também outros dados importantes para fazer ataques de negação de serviço.
03-11-2013
É possível descriptografar as mensagens enviadas do WhatsApp
Pablo San Emeterio e Jaime Sánchez publicam uma investigação na qual explicam detalhadamente como funciona o sistema de criptografia de mensagens do WhatsApp e como, com essa informação, é possível interceptar mensagens enviadas e falsificá-las para o destinatário final. Como solução, inventaram o app WhatsApp Privacy Guard. O problema está no uso da mesma chave para criptografar duas mensagens, um bug do protocolo de criptografia RC4.
08-10-2013
Problemas com a criptografia do WhatsApp
O pesquisador Thijs Alkemade detecta dois pontos fracos na criptografia de mensagens do WhatsApp. Por um lado, descobre que alguém com acesso às mensagens podia ser capaz de decifrar seu conteúdo, apesar da criptografia usada. Por outro lado, o uso de uma mesma chave RC4 permite os ataques man-in-the-middke, capazes de interceptar pacotes.
Fonte:
17-01-2013
Falha na segurança permite a chegada do WhatsApp Voyeur
Alejando Amo publica o serviço web WhatsApp Voyeur como prova que qualquer pessoa podia arrumar informação dos dados do perfil do WhatsApp sem tê-los na agenda, como fotos, status ou datas. O serviço parou de funcionar por ameaças legais, A realidade é que isso é possível apenas adicionando um contato para nossa agenda.
2012
04-05-2012
WhatsApp Sniffer, mensagens em texto plano
Foi lançado o WhatsApp Sniffer, que permite espiar chats. Em agosto de 2012 foi anunciado que o WhatsApp começava a criptografar as mensagens, sem especificar o protocolo. Os números dos telefones seguiam sendo visíveis.
03-01-2012
Aparece o WhatsAppStatus, que permite mudar o status de qualquer contato
Foi publicado um serviço web chamado WhatsAppStatus que aproveita diferentes vulnerabilidades detectadas o mês anterior para permitir mudar o status de nossos contatos aleatoriamente. O erro foi corrigido em 06 de janeiro.
Fonte:
2011
19-12-2011
Atualizações arbitrárias de status, falhas de registro e falhas relacionadas com o texto sem formato
Foram descobertas no app vulnerabilidades relacionadas com o status dos usuários, o processo de registro e o protocolo de texto sem formato, permitem ser interceptado facilmente.
Fonte:
10-12-2011
Nasce o WhatApp Xtract, é possível roubar o banco de dados do WhatsApp de um usuário
Um grupo de pesquisadores lançou o WhatsApp Xtract, um software capaz de extrair e descriptografar o banco de dados que o WhatsApp armazena localmente nos dispositivos. Segundo os relatórios, podemos acessar esse banco de dados criptografado, que armazena todas as mensagens enviadas e recebidas nos dispositivos móveis com root ou jailbreak, e podemos decodificar facilmente, pois sempre usa a mesma chave estática e codificada.
17-05-2011
As informações de contatos e mensagens são enviadas como texto plano
Um pesquisador descobre que o WhatsApp envia toda a informação sem criptografar através da rede, de forma que qualquer usuário pode ser vítima de espionagem através de um ataque tipo man-in-the, middle, que usando um software sniffer como WireShark é capaz de ver os dados que passam através da porta 443. O WhatsApp reconheceu implicitamente que não tinha uma camada de segurança extra ao responder que os protocolos de segurança aplicados eram os próprios das redes Wi-Fi e 3G.
01-05-2011
Uma falha na segurança permitia sequestrar as contas dos usuários
Problemas com a segurança no processo de verificação ou autenticação do número de telefone. Um desenvolvedor localiza um bug que permitia sequestrar remotamente a conta de um usuário.
Fonte:
Outros idiomas