Manter seus aplicativos sempre atualizados vai além de ter as ferramentas e recursos mais recentes. A Meta publicou um relatório das atualizações do seu mensageiro durante o ano de 2022, incluindo informações sobre uma vulnerabilidade crítica que o WhatsApp tem nas versões antigas do aplicativo.
Atualize agora; Meta admite que versão antiga do WhatsApp tem vulnerabilidade crítica – Imagem: Dimitri Karastelev on Unsplash
Versão antiga do WhatsApp tem vulnerabilidade crítica
O problema foi mencionado na última atualização na página de Avisos de segurança do WhatsApp. A empresa utiliza esse espaço para reportar problemas encontrados no aplicativo que podem implicar em falhas de segurança, expondo os usuários, mas que receberam um patch de correção.
A vulnerabilidade era resultado de um erro chamado “integer overflow”, um bug que acontece quando a execução do código resulta em um valor numérico maior do que o programa espera.
No caso do WhatsApp, pessoas mal intencionadas poderiam explorar a falha para rodar seu próprio código no aparelho das vítimas.
Como funciona o ataque?
Para causar o “integer overflow”, o atacante inicia uma chamada de vídeo, especialmente criada, com sua vítima. Uma vez que consegue executar seu código malicioso remotamente, o ataque pode ser considerado um sucesso.
A partir daí, um mundo de possibilidades se abre e o agente malicioso pode fazer o que quiser com o aparelho infectado, desde instalar um spyware para monitorar as atividades da vítima até tomar controle total usando diversas técnicas.
Mais informações sobre a vulnerabilidade
A vulnerabilidade já foi registrada no NVD (banco de dados nacional de vulnerabilidade), um repositório do governo norte-americano para o gerenciamento autônomo de vulnerabilidades, medição de segurança e conformidade.
Lá ela recebeu o número de identificação CVE-2022-36934 e a nota de 9.8/10, fazendo dela uma vulnerabilidade de nível “crítico”, o maior nível de ameaça.
Segundo o WhatsApp, a vulnerabilidade foi encontrada em todas as versões do aplicativo (versão normal e business, para Android e iOS) anteriores a v2.22.16.12, uma versão bem recente se considerarmos que agora o meu aplicativo está rodando a versão v2.22.19.76.
Além da CVE-2022-36934, o documento da empresa mostra mais 3 vulnerabilidades encontradas no aplicativo em 2022:
- A CVE-2022-27492, também em setembro, que teve uma nota no NVD de 7.8/10, tendo seu nível de ameaça classificado como “alto”;
- A CVE-2021-24043, em fevereiro, que teve uma nota de 9.1/10, também considerada “crítico”;
- E a CVE-2021-24042, em janeiro, com uma nota de 9.8/10, “crítico”.
Geralmente, o seu smartphone atualiza as aplicações automaticamente, então é quase certo que você não tem motivos para se preocupar.
Mesmo assim é uma boa ideia dar uma conferida na sua loja de aplicativos para ver se você tem a última versão do WhatsApp instalada. Algumas pessoas acabam desativando a atualização automática e isso pode se tornar um problema.
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui