Pesquisadores de segurança cibernética identificaram um vulnerabilidade crítica de JavaScript no aplicativo WhatsApp para desktop anteriores às versões 0.3.9309. Descoberta originalmente por Gal Weizman do PerimeterX, a vulnerabilidade afeta as versões do aplicativo para Windows e Mac e pode permitir que cibercriminosos injetem malware ou executem a execução remota de código usando mensagens aparentemente inócuas.
De acordo com o National Vulnerability Database, a vulnerabilidade (CVE-2019-1842) “Quando emparelhado com o WhatsApp para versões do iPhone anteriores a 2.20.10, permite a criação de scripts entre sites e a leitura de arquivos locais”. Em essência, permite que os cibercriminosos executem campanhas de phishing ou ransomware por meio de mensagens de notificação que parecem normais à primeira vista.
A vulnerabilidade mais crítica aparentemente permitia que os invasores simplesmente enviassem algum JavaScript malicioso em uma mensagem do WhatsApp para assumir o controle de um dispositivo alvo remotamente e ler arquivos locais.
Os aplicativos de desktop do WhatsApp, que precisam ser emparelhados com a versão Android ou iOS do aplicativo para funcionar, são desenvolvidos usando a tecnologia de navegador da web com a estrutura Electron. Acontece que os desenvolvedores do WhatsApp estavam usando uma versão antiga e desatualizada do Chromium (versão 69), que já era conhecido por ter essas vulnerabilidades. A prática padrão é sempre atualizar o código com a versão mais recente do Chromium durante o uso do Electron, de acordo com Weizman.
Os aplicativos de desktop do WhatsApp têm mais de 1,5 bilhão de usuários globalmente, e não está imediatamente claro quantos deles são afetados pelo problema. O Facebook já atualizou o software com os patches necessários, portanto, a versão mais recente deve estar livre do problema.
Como já mencionado, o WhatsApp Desktop v0.3.9309 e versões anteriores são afetados pela vulnerabilidade, portanto, você deve atualizar para a versão mais recente o mais rápido possível. Você também pode aprender mais sobre o problema no relatório de Weizman no blog oficial da PerimeterX.