Novo aviso sério emitido repentinamente para milhões de usuários do WhatsApp
Um novo aviso “surpreendente” para os usuários do WhatsApp surgiu do nada esta semana, com alguns especialistas em segurança aconselhando os usuários a excluir o aplicativo. O mesmo problema também afeta o Signal, mas o WhatsApp é o verdadeiro problema devido à sua enorme base de usuários.
Este risco afeta os usuários da Apple que aproveitam os recursos multidispositivos fornecidos por ambas as plataformas de mensagens. E embora os principais aplicativos WhatsApp e Signal para iOS sejam considerados seguros, o aplicativo MacOS foi exposto como um risco de segurança significativo.
O alerta vem do pesquisador Tommy Miske, que tem gerado muitos elogios nos últimos anos por expor tais vulnerabilidades. Quando você instala o WhatsApp e o Signal no seu Mac, os aplicativos “armazenam dados locais em um local que pode ser acessado pelos aplicativos e processos que você executa”, disse ele. Isso também inclui o histórico de bate-papo, que esses aplicativos são vendidos para proteger com criptografia de ponta a ponta. ”
Isso em si não é um problema. A Apple está fazendo o mesmo com o iMessage. No entanto, a Apple protege esses dados do iMessage para que o aplicativo não possa acessá-los, mas outros mensageiros não. Mysk alerta que embora o problema exato varie de acordo com a plataforma, o resultado final é o mesmo. “Surpreendentemente, os aplicativos Signal e WhatsApp macOS armazenam dados locais em locais que são acessíveis aos aplicativos e processos que você executa.”
O comprometimento de endpoints é uma ameaça constante para essas plataformas totalmente criptografadas. Esta transmissão é considerada suficientemente segura para que as agências de aplicação da lei e de segurança tenham feito lobby para a introdução de backdoors formais, mais recentemente através das perigosas propostas de “controlo de chat” da Europa.
Obviamente, se você tiver acesso físico a um dispositivo desbloqueado, poderá ver tudo. O acesso físico é um grande obstáculo, mas o verdadeiro benefício é o acesso remoto. “O WhatsApp não criptografa o banco de dados local onde armazena o histórico de bate-papo”, disse Mysk. “Anexos de mídia enviados por bate-papo também não são criptografados. Um malware simples poderia, teoricamente, monitorar esses dados e enviá-los ao vivo para um servidor remoto, tornando inútil a criptografia de ponta a ponta. A questão é: essa vulnerabilidade de desktop expõe você a algum tipo de ataque contínuo remoto ou iniciado?
O problema do Signal é diferente. O histórico de bate-papo local é criptografado, mas “anexos de mídia não”. Mas as chaves de criptografia para o histórico de bate-papo local “são armazenadas na mesma pasta em texto simples e também podem ser acessadas por todos os aplicativos, comprometendo a segurança”, diz Mysk. , um invasor poderá restaurar a sessão. O Signal Server permite que sessões “replicadas” coexistam com outras sessões regulares. ”
Novamente, a questão é até que ponto isto cria vulnerabilidades remotas fora do acesso físico persistente. O risco de um endpoint secreto e não autorizado se infiltrar em uma conversa em andamento é muito sério. Isso abre a possibilidade de backdoors. Mysk disse que quando experimentou a vulnerabilidade para prová-la, descobriu que “o Signal não exibiu nenhum aviso sobre a existência desta sessão ‘clonada’”.
Maiske acredita que esse risco de “porta dos fundos” reabrirá as discussões semanas atrás que foram encerradas pela Signal. “É fácil clonar uma sessão do Signal a partir do aplicativo de desktop Signal, e é provavelmente por isso que alguns críticos do Signal acreditam que existe um ‘backdoor’”, diz ele. Ele estava se referindo à disputa entre Signal e Elon Musk sobre sua alegação de que Signal tinha vulnerabilidades conhecidas que não foram abordadas.
Portanto, você deve remover ou desvincular aplicativos de desktop. Depende do seu nível de ameaça. Dadas essas descobertas, as pessoas em posições, ocupações ou locais de alto risco não devem usar aplicativos de desktop. Além disso, o comprometimento físico dos dados de mensagens por meio do acesso físico ao dispositivo é compreensível, mas também expõe riscos de vulnerabilidade remota. Em teoria, um aplicativo malicioso poderia acessar e roubar dados do usuário ou até mesmo configurar um ponto de acesso clone para comunicações contínuas. é enorme.
O conselho de Maisk é claro. “Os aplicativos no iOS são estritamente isolados e nenhum aplicativo pode acessar os dados de outro aplicativo”, diz ele. “O Android possui uma tecnologia semelhante de isolamento de aplicativos. Mesmo que um aplicativo móvel armazene segredos em texto não criptografado em uma sandbox, há poucas chances de que um aplicativo malicioso possa acessá-los. No entanto, o Signal ou o WhatsApp desktop O uso indevido dos dados locais do aplicativo deixa todo o seu conta vulnerável, incluindo o aplicativo móvel complementar. Por segurança, desvincule seu aplicativo de desktop.
O aplicativo complementar para desktop para ambas as plataformas de mensagens existe como um ponto de acesso à sua conta, enquanto o aplicativo para smartphone mantém seu status principal. Desvincular um aplicativo de desktop remove seu acesso e dados. É o mesmo que excluir o aplicativo. Você pode desvincular o aplicativo de desktop nas configurações do aplicativo do seu telefone.
Entrei em contato com o WhatsApp e o Signal para comentar. Enquanto isso, muitos usuários preocupados com a segurança podem parar de usar o aplicativo de desktop até que mais informações sejam conhecidas. Tal como acontece com as vulnerabilidades, a publicidade espalha a consciência, mas também aumenta o risco de exploração.
