segunda-feira, 15 de julho de 2019

Os arquivos de mídia do WhatsApp e do Telegram não são tão seguros depois que chegam ao telefone


A Symantec lançou um novo relatório sobre mensagens
Embora sejam conhecidos por criptografar mensagens em trânsito, aplicativos como o WhatsApp e o Telegram podem nem sempre manter os arquivos seguros depois de estarem em seu telefone. Hoje, pesquisadores da Symantec explicam como os hackers podem usar um aplicativo malicioso para alterar sutilmente os arquivos de mídia enviados pelos serviços.

No Android, os aplicativos podem optar por salvar mídia, como imagens e arquivos de áudio, por meio de armazenamento interno que só é acessível por meio do aplicativo ou por armazenamento externo, que está mais amplamente disponível para outros aplicativos. O WhatsApp, por padrão, armazena mídia por meio de armazenamento externo, e o Telegram faz isso quando o recurso "Salvar na Galeria" do aplicativo está ativado.

Segundo os pesquisadores, o design significa que malwares com acesso a armazenamento externo podem ser usados ​​para acessar arquivos de mídia do WhatsApp e do Telegram, talvez até mesmo antes que o usuário os veja. Se um usuário fizer o download de um aplicativo malicioso, por exemplo, e receber uma foto no WhatsApp, um hacker poderá manipular a imagem sem que o receptor perceba. Um hacker poderia, teoricamente, alterar também uma mensagem multimídia de saída.

Os pesquisadores chamam o ataque de "Media File Jacking". De muitas maneiras, é um problema conhecido e um compromisso entre privacidade e acessibilidade para aplicativos de mensagens no Android. Ao usar a configuração de armazenamento externo, que é amplamente usada, os aplicativos são mais compatíveis com os outros, permitindo que imagens e outros dados sejam movidos com mais liberdade. Mas isso vem com um custo: no ano passado, pesquisadores apontaram questões semelhantes.

O Telegram não respondeu imediatamente a um pedido de comentário. Um porta-voz do WhatsApp disse que mudar seu sistema de armazenamento limitaria a capacidade do serviço de compartilhar arquivos de mídia e até mesmo introduzir novos problemas de privacidade. "O WhatsApp analisou atentamente essa questão e é semelhante a perguntas anteriores sobre o impacto do armazenamento de dispositivos móveis no ecossistema de aplicativos", disse o porta-voz em um comunicado. “O WhatsApp segue as práticas recomendadas atuais fornecidas pelos sistemas operacionais para armazenamento de mídia e espera fornecer atualizações de acordo com o desenvolvimento contínuo do Android.”

Ainda assim, esses não são apenas aplicativos de mensagens. Como os pesquisadores apontam, os usuários geralmente confiam em aplicativos criptografados “para proteger a integridade tanto da identidade do remetente quanto do próprio conteúdo da mensagem”.

"No entanto", escrevem os pesquisadores, "como mencionamos no passado, nenhum código está imune a vulnerabilidades de segurança".