Segurança do WhatsApp

O 16 de novembro de 2022 apareceu em um conhecido fórum de pirataria anunciando a venda de 487 milhões de números de telefone pertencentes a usuários do WhatsApp. Esses usuários seriam de 84 países diferentes, sendo a maioria do Egito (45 milhões), Itália (35 milhões), Estados Unidos (32 milhões), Arábia Saudita (29 milhões), França (20 milhões) e Turquia (20 milhões). Na Espanha o número de afetados seria cerca de 10 milhões de usuários. Fontes confiáveis compararam os dados com uma amostra fornecida pelos vendedores e puderam confirmar que eram números de contas de usuários reais do WhatsApp. Suspeita-se que os dados possam ter sido obtidos através da técnica de scraping, um procedimento que vai contra os termos e condições de uso do WhatsApp, embora o responsável por isso não clarificou como teria obtido esses dados nem o método utilizado.

A vulnerabilidade CVE-2022-36934 foi detectada em 22 de setembro de 2022, classificada como um bug crítico, e corrigido em 23 de setembro. Ele afetou as versões do WhatsApp para Android anteriores a 2.22.16.2 e as versões do iPhone anteriores a 2.22.16.12. Também afetou os apps móveis do WhatsApp Business anteriores às versões 2.22.16.12 em ambos os sistemas operacionais. Por meio dessa falha de segurança um invasor malicioso poderia manipular um input da função Video Call Handler causando um estouro de buffer permitindo assim a execução remota de código durante a chamada de video em questão.

A vulnerabilidade CVE-2022-27492 foi detectada em 22 de setembro de 2022, classificada como altamente perigosa, e corrigido apenas um dia depois afetando versões do Android anteriores a 2.22.16.2 e versões do iPhone anteriores a 2.22.15.9. Por meio dessa falha de segurança um invasor malicioso poderia manipular um input da função Video File Handler de um vídeo que enviado posteriormente pelo WhatsApp permitindo que ele executasse um código remoto no dispositivo móvel do destinatário.

RTCP são as siglas de Real Time Control Protocol, um protocolo de comunicação normalmente usado para fazer chamadas e videochamadas entre usuários dos apps de comunicação como o WhatsApp. Nos primeiros dias do mês de fevereiro de 2022, foi detectada uma falha em um controle de link no código de análise do indicador RTCP, que é o responsável por informar sobre a qualidade do fluxo RTP, que realmente transporta os dados. Na prática, isso significava que um usuário poderia enviar um pacote RTCP com formato errado durante uma chamada em andamento e provocar a leitura de armazenamento dinâmico fora dos limites permitidos.

Call Handler é o nome de um componente de software usado pelo WhatsApp para fazer chamadas entre usuários. Ao manipular uma entrada pode-se em teoria ter provocado um estouro de buffer e permitido a escrita fora dos limites esperados.

O WhatsApp, através de suas alertas de segurança, divulgou em dezembro de 2021 a vulnerabilidade CVE-2021-24041 registrada pela primeira vez no mês de julho deste mesmo ano. A falha de segurança estava na função de desfoque de imagens, que é muito usada no app em todos os casos. Os atacantes em potencial, aproveitando um erro do código na verificação de limites associada a essa funcionalidade, podiam provocar a gravação fora dos limites e o estouro de buffer enviando uma imagem maliciosa. O bug atingia as versões do Android do app anteriores à 2.21.22.7 publicada em outubro de 2021, incluindo a versão Business.

Um erro no processo de validação de nomes de arquivo do WhatsApp Messenger poderia permitir um invasor comprometer a integridade e confidencialidade dos dados da vítima. Conhecida como uma vulnerabilidade como passagens de caminho, o problema aparece ao descompactar arquivos. A falta de validação nos nomes de arquivo durante o processo poderia permitir a substituição de arquivos mediante ataques de passagens de caminho, dando acesso a diretórios que deveriam estar proibidos. Trata-se de um ataque simples que pode ser executado remotamente e fácil de explorar, pois não precisa de nenhum tipo de verificação, embora sim seja necessária a interação com a vítima.

Uma falha na segurança permite coletar informações criptografadas do armazenamento externo de um usuário. Para isso, é enviado à vítima um arquivo HTML que uma vez aberto com o Chrome, aproveitando seu suporte para provedores de conteúdo executa o código. Nesse momento, o usuário terá acesso ao material criptografado TLS (em sessões de TLS 1.2 e 1.3) armazenado no cache, pois o WhatsApp salva os detalhes da chave de sessão de TLS em uma área do armazenamento externo desprotegida, levando ao comprometimento das comunicações e nossa conta, executar código remoto e extrair chaves do protocolo Noise usadas geralmente na criptografia de ponta-a-ponta das comunicações.

Um invasor remoto poderia iniciar uma chamada de voz através do WhatsApp criada especificamente para provocar um estouro da memória durante o processamento, aproveitando uma falha no sistema de verificação dos limites. Provocando a escrita fora dos limites, acontece a falha do app. Nenhum detalhe técnico específico foi fornecido sobre a vulnerabilidade.

Um usuário pode instalar um cliente de WhatsApp e iniciar o processo de identificação utilizando um número de telefone de uma terceira pessoa. Depois de várias tentativas mal sucedidas colocando códigos errados ou solicitando novos códigos constantemente (já que o código de verificação de 6 dígitos real chega sempre à vítima que pode estar alheia a tudo) O WhatsApp bloqueia o envio de novos códigos durante 12 horas. É nesse momento onde entra em jogo o segundo ponto fraco, pois o atacante poderia entrar em contato com o departamento de contas perdidas ou roubadas do WhatsApp e simplesmente mostrar o número de telefone da vítima, se fazendo passar por ela para bloqueá-la, aproveitando que se trata de uma plataforma de comunicação automatizada. Se, além disso, repetir a operação durante vários ciclos de 12 horas e a vítima não for capaz de recuperar o controle da conta entre eles, poderia bloquear de forma permanente a conta e forçar a vítima a entrar em contato direto com o WhatsApp para recuperá-la.

A empresa de segurança Check Point Research notificou ao WhatsApp em 10 de novembro de 2020 a existência de uma falha de segurança na função de filtro de imagem que poderia dar ao invasor acesso às informações armazenadas na memória do WhatsApp através da escrita fora dos limites. O ataque, que em qualquer caso requer da interação do usuário, é realmente complexo de executar e não há registro de sua execução, ele usa uma imagem GIF pré-definida que é enviada à vítima. Quando ela edita a imagem aplicando alguns filtros como desfoque, os pixels da imagem original são modificados, um processo complexo onde são lidos, manipulados e sobrescritos dados. O erro acontece na hora de encaminhar o resultado ao remitente. O erro, do qual se conheceram mais detalhes técnicos em 2 de setembro de 2021, foi em teoria corrigido a partir da versão 2.21.1.13 do app publicado em fevereiro de 2021, inserindo dois novos processos de verificação na fonte da imagem e o filtro de imagem relacionado com a falha.

Um encadeamento de diferentes eventos conseguiu provocar a corrupção da memória no app, bugs e a execução de código malicioso. O bug estava relacionado com um problema em uma biblioteca de registro usada nas versões anteriores à 2.20.111 do WhatsApp Messenger e o WhatsApp Business para iOS. Para provocar o bug eram necessárias diferentes suposições em uma determinada ordem, entre eles receber um sticker animado enquanto colocamos uma chamada de vídeo em espera.

Um problema com a autorização errada do uso da função de bloqueio da tela nas versões de iOS do WhatsApp Messenger e WhatsApp Messenger Business anteriores à versão 2.20.100 era possível usar o Siri para manipular o aplicativo. Até mesmo depois de bloquear o telefone.

Ao analisar o conteúdo de cabeçalhos de extensão RTP era possível executar o código arbitrário e causar um estouro na pilha do WhatsApp.

Ao processar vídeos locais malformados com transmissões de áudio E-AC-3 era possível ativar a escrita fora dos limites e causar um estouro de buffer.

Um erro nos URI do Media ContentProvider (identificador uniforme de recursos) usados na hora de abrir anexos em apps de terceiros fez com que eles fossem gerados sequencialmente, o que significa que um app malicioso podia abrir o arquivo e adivinhar os URI de arquivos anexos abertos anteriormente.

Um erro na validação de rota ao enviar arquivos DOCX, PPTX ou XLX feitos como arquivos anexos nas mensagens permitia sobrescrever arquivos de diretório transversal.

Ao descompactar um documento DOCX, PPTX ou XLSX regular do pacote Office era possível causar uma negação de serviço como resultado da falta de memória, para o qual era necessário que o número do telefone que enviava o arquivo não estivesse na nossa lista de contatos.

Um buf na hora de fazer buscas rápidas de uma mensagem muito encaminhada podia enviar ao usuário ao serviço de buscas do Google usando um HTTP simples.

Enviando uma mensagem de grande volume que tenha um URL, era possível bloquear o cliente do iOS fazendo que o app travasse durante o processamento da mensagem.

Um invasor podia ter usado a função push to talk do envio de mensagens para executar o código malicioso arbitrário.

Através das videochamadas um usuário podia ativar A escrita fora dos limites em dispositivos de 32 bits.

Um problema de validação de URLs permitia enviar adesivos com links URL que eram abertos automaticamente sem a permissão do usuário.

Um problema de omissão de funções de segurança nas versões do WhatsApp Desktop anteriores à v0.3.4932 poderia ter permitido a fuga da sandbox no Electron e o escoamento de privilégios combinado com uma vulnerabilidade de execução remota de código no processo de renderização da sandbox.

Ele permitia a escrita fora dos limites através de transmissões de vídeo feitas para atuar quando respondidos.

Através das mensagens de localização ao vivo, um invasor podia ter causado o cross-site scripting através de um link.

Uma vulnerabilidade que combina WhatsApp Desktop e o WhatsApp para iPhone torna possível, mediante um clique da vítima visualizando o link feito para isso, criar sequências de comandos entre sites e ler arquivos locais.

Através do WhatsApp Web, o Google Chrome e um serviço remoto em Python, o invasor pode modificar o nome do participante de um grupo e causar travamentos entrando em um loop infinito. A única solução era reinstalar o app, com a consequente perda de dados do grupo.

Através do envio para um contato e o posterior download de um arquivo MP4 juntos aos metadados, a memória era corrompida e o ataque DoS ou RCE era gerado. Os atacantes podiam espiar dados e roubar arquivos remotamente.

É encontrado um erro de estouro de buffer de pilha em uma biblioteca do Android, especificamente libpl_droidsoroids_gif anterior à versão 1.2.19. que podia permitir que um invasor remoto execute código arbitrário e cause uma negação de serviço. O erro poderia afetar as versões do WhatsApp Messenger Android anteriores à versão 2.19.291.

Uma falha em uma biblioteca do Android relacionada com GIFs tinha uma vulnerabilidade dupla na função DDGifSlurp. Através desse buraco, invasores remotos podiam executar código e causar uma negação de serviço ao analisar GIFs especificamente feitos para essa finalidade.

Um invasor podia usar as etiquetas EXIF de imagens tipo WEBP para fazer uma escrita fora dos limites e sobrecarregar as bibliotecas de análise de mídia.

Embora o WhatsApp tenha relatado ter corrigido inicialmente relatada em agosto de 2018, os mesmos pesquisadores descobrem que o problema não foi resolvido e ainda é possível manipular mensagens e passá-las como verdadeiras.

Um problema no processo de verificação e entrada permitia enviar arquivos maliciosos ao usuário que abriam com uma extensão errada.

Detectado um bug no qual os arquivos de mídia do WhatsApp e Telegram eram visíveis um para outro através do armazenamento de cartões SD. Dessa forma, era possível um arquivo ou documento antes de ser enviado.

Um bug de segurança permitia a espionagem através de ligações. Há suspeitas que a empresa de segurança cibernética NOS aproveitou o bug para oferecer uma ferramenta de espionagem comercial. Ao receber uma chamada e sem a necessidade de atendê-la, foi instalada um spyware. As ligações podiam deixar rastros. Jornalistas, dissidentes políticos, diplomatas e membros de governos diferentes foram vítimas do software conhecido como Pegasus. que o WhatsApp mais tarde confirmaria ter afetado por volta de 1.400 pessoas.

Um erro na lógica de desenvolvimento permitia que alguém com acesso à conta recuperasse mensagens enviadas anteriormente. Em qualquer caso, era necessário conhecer os metadados dessas mensagens, que na teoria não estão publicamente disponíveis.

Erro de escrita fora do espaço destinado à pilha ao receber ligações, na designação da pilha não estavam sendo consideradas adequadamente a quantidade de dados que eram transmitidos.

No WhatsApp para iOS, um bug no processo de verificação de tamanho ao analisar pacotes no remetente ao receber uma ligação pode causar um estouro baseado na pilha.

Problemas de implementação de RTP, permitem assumir o controle de um cliente através de videochamadas feita com esse propósito. Afeta o Android e iOS, não ao WhatsApp Web, pois usa o WebRTC para essa função.

Uma brecha de segurança detectada por uma empresa externa permitia aos criminosos interceptar e manipular mensagens enviadas. O bug permitia alterar a resposta de um participante, citando mensagens de pessoas que não tinham escrito esses textos ou enviar mensagens para membros de grupos que, apesar de serem aparentemente de grupo, apenas eram visíveis por esse usuário.

O plugin Ass Social Share Messenger Buttons WhatsApp and Viber 1.0.8 de MULTIDOTS para WordPress apresenta uma falha através do qual um invasor através do phishing ou engenharia social conseguir que o gerenciador de um site do WordPress mudasse a configuração do plugin através do Cross-Site Request Forgery (CSRF) em wp-admin/admin-post.php.

Os usuários nas redes sociais avisam que um usuário bloqueado pode seguir enviando mensagens. O erro parece estar relacionado com uma atualização dos clientes móveis do WhatsApp para Android e iPhone, e seria resolvido logo depois através de uma nova atualização.

Uma análise errada dos cabeçalhos de extensão RTP tornou possível a leitura fora dos limites.

No WhatsApp para Android, uma falha no processo de verificação do tamanho na hora de analisar pacotes no remetente e ao receber uma ligação podia causar um estouro baseado na pilha.

O pesquisador Rob Heaten descobre um bug no WhatsApp Web que permite monitorar a atividade de contatos. Usando uma extensão do Chrome, registrando as horas de conexão apesar de estar oculto e comparando as informações com as de outros contatos seria possível estabelecer diretrizes, rotinas e até conversas mantidas entre eles.

Pesquisadores alemães alertam sobre um bug na qual uma pessoa com acesso aos servidores do WhatsApp pode se convidar para chats de grupo. Do Facebook minimizaram o fato, pois como foi dito, é necessário ter acesso aos servidores, algo muito limitado, e também os participantes dos grupos podem ver que uma nova pessoa não convidada entrou no grupo. Também as mensagens enviadas anteriormente não têm acesso.

O WhatsApp para Android não remove arquivos enviados e recebidos do cartão SD do dispositivo quando um chat é removido ou o app é desinstalado. Os dados do cartão SD são armazenados sem criptografia e podem ser acessados por outros aplicativos com permissões de acesso ao armazenamento. Segundo o Facebook, isso não é um erro. mas sim do funcionamento para permitir aos usuários exportar os dados.

Uma vulnerabilidade permitiu enviar mensagens ou vídeos normais na pré-visualização, mas que tinham código HTML, capaz de carregar o malware através do navegador. Dessa forma, era possível ter total controle sobre a conta do usuário, ler suas mensagens, enviá-las ou, ver conteúdo de mídia. A vulnerabilidade foi relatada o 08 de março desse mesmo ano, uma semana antes. Quando foi tornado público, já havia sido solucionado.

O pesquisador alemão Tobias Boelter descobre um bug na criptografia do app de ponta a ponta. Ao gerar as chaves de segurança através do protocolo Signal de Open Whysper Systems. Descobriu-se que o WhatsApp tem a capacidade de forçar a criação de novas chaves para usuários. Muitos especialistas em segurança acham que esse bug não é esse, e de fato, o The Guardian que publicou inicialmente o erro se retratou das suas declarações.

Depois da chegada da criptografia de mensagens um pesquisador achou um bug nas bibliotecas SQL que permitiria seguir o rastro das conversas removidas de nossos contatos. De acordo com análise só seria possível remover completamente uma conversa excluindo e reinstalando o app.

Uma empresa russa de segurança de computadores descobre como é possível espiar conversas usando as falhas de segurança do protocolo SS7. Conectando-se ao nó da rede que atende ao terminal e aproveitando o erro podiam roubar o SMS de autenticação e substituir a identidade dos participantes. Isso podia acontecer sempre que fosse usada a configuração de segurança por padrão nesse momento, quando não estava ativada a opção "Mostrar notificações de segurança" nas configurações, que poderia ajudar alertar ao usuário a existência de um problema. Em qualquer caso, é mais um erro de protocolo que do WhatsApp.

Usando o cliente web num PC, um invasor podia enviar um vCard contendo o código malicioso de um malware e instalá-lo diretamente no computador.

Um estudante de engenharia de computação alerta que usando um iPhone e um computador Linux pode extrair arquivos enviados e recebidos junto com contatos.

Um bug no processo de identificação de usuários permitia que um invasor tivesse acesso à nossa conta. Instalando o WhatsApp em um segundo dispositivo, conhecendo o número de telefone da vítima e tendo acesso à seu aparelho, era possível roubar a conta. Para isso, era feita uma nova instalação com o número da vítima, era solicitada o código de verificação via ligação para seu celular que podemos responder sem desbloquear o telefone y usaremos esse código no segundo cliente. Até que a vítima possa recuperar o uso da sua conta, se passa uma quantidade variável de minutos que é possível de aproveitar para espiar todas as conversas.

Um invasor remoto pode usar o CoreText para causar um ataque de negação de serviço usando texto Unicode. Através do envio de diversos caracteres que não eram corretamente assimilados pela mesma notifica notificação, a mensagem fazia reiniciar i aparelho.

O processo de verificação do WhatsApp torna possível que uma pessoa que conhece o nosso número de celular possa roubar nossa conta se temos a caixa de chamadas ativa. Basta instalar o WhatsApp e iniciar o cadastro na hora que a vítima provavelmente estiver pendente do seu telefone. Ao não atender a chamada de verificação, o WhatsApp deixa a mensagem na caixa de voz se estiver ativa , uma secretaria que é possível ligar para conhecer o código de verificação e tomar o controle da conta.

Indrajeet Buyhan descobre dois bugs de segurança e privacidade. Por um lado, mostra como as fotos de perfil dos usuários são visíveis mesmo não tendo o contato deles na nossa agenda. Qualquer um pode ver nossa foto mesmo tendo especificado isso nas configurações. O segundo erro está relacionado com a sincronização do WhatsApp Web e os clientes móveis: ao remover uma foto em uma conversa, ela fica embaçada e inacessível nos celulares, mas continua disponível na versão web do cliente.

Dois adolescentes descobrem um bug no qual enviando uma mensagem de texto com um jogo especial de caracteres de tamanho pequeno (apenas 2kb) provocava um erro no app, fazendo impossível acessar essa conversa. Não era um bug de segurança muito grave, mas permitia corromper qualquer conversa obrigando-a a ser removida e iniciar uma nova conversa. Foi corrigido na atualização 2.11.468.

Um grupo de pesquisadores da Faculdade de New Haven detectam uma falha na segurança na qual mensagens com a localização de um contato são enviadas sem criptografia, permitindo interceptar o conteúdo dessas mensagens e conhecer a posição real de um contato usando um ataque man-in-the, middle com programas como WireShark.

Um engenheiro da computação holandês avisa que o banco de dados do WhatsApp fica armazenado no cartão SD dos terminais, e que qualquer app com acesso a esse cartão SD pode obter o arquivo. Em um processo transparente, os invasores são capazes de copiar o banco de dados e subi-la a um servidor. Esse banco de dados estava criptografado via SQLite3, mas era possível criptografá-la usando uma criptografia com um scrypt de Phyton e WhatsApp Xtract. Segundo o WhatsApp em nota divulgada dias depois, esses relatórios não passavam uma imagem real e eram exagerados: um uso responsável do software e do dispositivo, como em qualquer outra circunstância, deveria ser suficiente para evitar não ser vítimas de um ataque.

Dois pesquisadores apresentam na RootedCon 2014 uma prova de conceito que mostra como é possível falsificar mensagens do WhatsApp sem deixar rastros.

A introdução de uma nova função para baixar imagens vinculadas ao compartilhamento de links URL permitia a um invasor conhecer o endereço IP de uma pessoa e, portanto, sua localização. Também outros dados importantes para fazer ataques de negação de serviço.

Pablo San Emeterio e Jaime Sánchez publicam uma investigação na qual explicam detalhadamente como funciona o sistema de criptografia de mensagens do WhatsApp e como, com essa informação, é possível interceptar mensagens enviadas e falsificá-las para o destinatário final. Como solução, inventaram o app WhatsApp Privacy Guard. O problema está no uso da mesma chave para criptografar duas mensagens, um bug do protocolo de criptografia RC4.

O pesquisador Thijs Alkemade detecta dois pontos fracos na criptografia de mensagens do WhatsApp. Por um lado, descobre que alguém com acesso às mensagens podia ser capaz de decifrar seu conteúdo, apesar da criptografia usada. Por outro lado, o uso de uma mesma chave RC4 permite os ataques man-in-the-middke, capazes de interceptar pacotes.

Alejando Amo publica o serviço web WhatsApp Voyeur como prova que qualquer pessoa podia arrumar informação dos dados do perfil do WhatsApp sem tê-los na agenda, como fotos, status ou datas. O serviço parou de funcionar por ameaças legais, A realidade é que isso é possível apenas adicionando um contato para nossa agenda.

Foi lançado o WhatsApp Sniffer, que permite espiar chats. Em agosto de 2012 foi anunciado que o WhatsApp começava a criptografar as mensagens, sem especificar o protocolo. Os números dos telefones seguiam sendo visíveis.

Foi publicado um serviço web chamado WhatsAppStatus que aproveita diferentes vulnerabilidades detectadas o mês anterior para permitir mudar o status de nossos contatos aleatoriamente. O erro foi corrigido em 06 de janeiro.

Foram descobertas no app vulnerabilidades relacionadas com o status dos usuários, o processo de registro e o protocolo de texto sem formato, permitem ser interceptado facilmente.

Um grupo de pesquisadores lançou o WhatsApp Xtract, um software capaz de extrair e descriptografar o banco de dados que o WhatsApp armazena localmente nos dispositivos. Segundo os relatórios, podemos acessar esse banco de dados criptografado, que armazena todas as mensagens enviadas e recebidas nos dispositivos móveis com root ou jailbreak, e podemos decodificar facilmente, pois sempre usa a mesma chave estática e codificada.

Um pesquisador descobre que o WhatsApp envia toda a informação sem criptografar através da rede, de forma que qualquer usuário pode ser vítima de espionagem através de um ataque tipo man-in-the, middle, que usando um software sniffer como WireShark é capaz de ver os dados que passam através da porta 443. O WhatsApp reconheceu implicitamente que não tinha uma camada de segurança extra ao responder que os protocolos de segurança aplicados eram os próprios das redes Wi-Fi e 3G.

Problemas com a segurança no processo de verificação ou autenticação do número de telefone. Um desenvolvedor localiza um bug que permitia sequestrar remotamente a conta de um usuário.