Uma falha no WhatsApp que permitia travar o aplicativo para todos os integrantes de um grupo foi anunciada nesta terça-feira (17). A vulnerabilidade, detectada pela equipe de segurança cibernética Checkpoint, afeta celulares Android e iPhone (iOS) e consiste em alterar o número de telefone de um dos participantes do chat para desencadear o congelamento constante do app no celular do resto dos membros. A única solução seria apagar o grupo e, consequentemente, perder todas as mensagens compartilhadas nele.
O bug foi informado pela Checkpoint à equipe do WhatsApp em agosto por meio do programa de recompensas do aplicativo. O mensageiro liberou em setembro a atualização com correção da falha na versão 2.19.58 para todos os usuários de iPhone e Android (saiba como atualizar o WhatsApp).
A vulnerabilidade foi descoberta pela equipe Checkpoint ao acessar o protocolo de mensagens do app para alterar o parâmetro de remetente, que é examinado pelo WhatsApp para identificar aos usuários quem enviou determinada mensagem na conversa coletiva. Os desenvolvedores, então, adicionaram caracteres especiais ao parâmetro do número de telefone de um dos integrantes do grupo.
Assim, quando esse usuário mandar alguma mensagem no chat, o aplicativo do WhatsApp trava em loop no celular de todos os outros participantes da conversa. O app continua congelado mesmo após fechar e reabrir o mensageiro.
Além disso, não é possível acessar novamente o grupo em que a vulnerabilidade ocorreu. Portanto, para impedir que o aplicativo continue congelando, a solução seria apagar o chat em questão que sofreu a falha. Isso resultaria na perda de todas as mensagens e mídias compartilhadas na conversa.
O bug foi consertado pelo WhatsApp a partir da atualização de número 2.19.58 para iPhone e Android. É importante manter os aplicativos atualizados para evitar falhas de segurança como essa. Inclusive, pesquisadores do Checkpoint descobriram em agosto uma vulnerabilidade que permitia editar mensagens enviadas pelo WhatsApp.
Outras brechas detectadas no mensageiro ainda este ano incluem invasão do celular por meio de GIFs maliciosos, ataques de spyware, e roubo de dados ao receber arquivos em formato MP4.