WhatsApp Web: erros e falhas de segurança

WhatsApp Web: erros e falhas de segurança

O WhatsApp, popular aplicativo de mensagens instantâneas, lançou sua versão Web. O serviço permite que os usuários utilizem o WhatsApp no seu browser favorito – contanto que seu browser favorito seja o Google Chrome e você não esteja tentando sincronizar sua conta com um iPhone.

Como sempre, o Kaspersky Daily está mais interessado em pesquisar o aplicativo por uma perspectiva de segurança. E mesmo que o serviço esteja no ar há apenas um mês, já encontramos algumas vulnerabilidades e falhas de segurança.

WhatsApp-for-Web-vulnerabilities

Indrajeet Bhuyan, um jovem blogueiro de tecnologia e pesquisador de segurança indiano, encontrou alguns erros críticos que existem no meio do caminho entre o WhatsApp Web e o aplicativo original. Sendo claro, o cliente web é apenas uma extensão da aplicação móvel, espelhando suas conversações no Google Chrome.  Usuários apenas conseguirão usar a versão Web se os seus aparelhos móveis (que não funcionem com o sistema operacional iOS) estiverem conectados na Internet.

Um dos erros encontrados por Bhuyan está relacionado com as fotos deletadas e sua forma de sincronização entre a versão móvel e web. Quando um usuário apaga uma imagem no aplicativo móvel, ela ainda estará disponível no WhatsApp Web. Mensagens, por outro lado, quando deletadas, somem das duas versões.

Outro bug encontrado pelo blogueiro tem a ver com as opções de privacidade para visualização do perfil. Os usuários podem escolher que sua foto do perfil esteja disponível para todos, somente para os contatos ou para ninguém. Porém, se você escolhe mostrar sua foto apenas para contatos, todos os que acessarem o WhatsApp pela Web também poderão vê-la. No vídeo abaixo, você consegue visualizar melhor esta falha:

O pesquisador Fabio Assolini, do Kaspersky Lab, também tem rastreado falhas e possíveis aberturas para fraudes na plataforma. Uma delas, de acordo com a Securelist, imita a página de instalação do WhatsApp mas na verdade instala um plugin falso, ao invés do verdadeiro. Para instalar o WhatsApp Web, o usuário necessita ir até a página web.whatsapp.com e fotografar com sua própria câmera o código QR que dá acesso ao serviço. Os fraudadores então se utilizam disso para inserir um código QR malicioso na página falsa, com o objetivo de infectar os usuários desatentos.

B9U_oYRCQAAm2P6

 

De fato, Assolini explica que fraudes envolvendo uma versão desktop do WhatsApp existem de longa data, muito antes da existência do serviço web. Ele disse que já havia recebido dezenas de solicitações de trojans disfarçados de versões falsas de WhatsApp para Windows.

Assolini ainda encontrou um grupo criminoso explorando os clientes do WhatsApp Web para reunir números de telefone para truques envolvendo SMS, com mensagens de texto falsas onde usuários são cobrados e criminosos são pagos.

Esperamos ansiosos para saber como WhatsApp Web vai reagir em frente às configurações de segurança de outros serviços de mensagem.

O melhor conselho até o momento é: se você vai instalar o WhatsApp Web, tenha certeza de que você está no site correto.

Related Posts