Assusto de notícias de “exploração de dia zero” do WhatsApp – o que você precisa saber

Nos últimos dois dias, nosso feed de notícias está cheio de avisos sobre o WhatsApp.

Vimos muitos relatórios vinculados a dois tweets que alegavam a existência de duas falhas de segurança de dia zero no WhatsApp, fornecendo seus IDs de bugs como CVE-2022-36934 e CVE-2022-27492.

Um artigo, aparentemente baseado nesses tweets, insistia sem fôlego não apenas que eram bugs de dia zero, mas também que haviam sido descobertos internamente e corrigidos pela própria equipe do WhatsApp.

Por definição, porém, um dia zero refere-se a um bug que os invasores descobriram e descobriram como explorar antes que um patch estivesse disponível, de modo que havia zero dias em que mesmo o administrador de sistema mais proativo com a atitude mais progressiva em relação ao patch poderia estar à frente do jogo.

Em outras palavras, toda a ideia de afirmar que um bug é um dia zero (geralmente escrito com apenas um dígito, como 0-dia) é persuadir as pessoas de que o patch é pelo menos tão importante como sempre, e talvez mais importante do que isso, porque instalar o patch é mais uma questão de alcançar os bandidos do que manter na frente deles.

Se os próprios desenvolvedores descobrirem um bug e o corrigirem por vontade própria em sua próxima atualização, não será um dia zero, porque os mocinhos chegaram primeiro.

Da mesma forma, se os pesquisadores de segurança seguirem o princípio de divulgação responsável, onde eles revelam os detalhes de um novo bug para um fornecedor, mas concordam em não publicar esses detalhes por um período de tempo acordado para dar ao fornecedor tempo para criar um patch, não é um dia zero.

Definir um prazo de divulgação responsável para publicar uma descrição do bug serve a dois propósitos, a saber, que o pesquisador finalmente recebe o crédito pelo trabalho, enquanto o fornecedor é impedido de varrer o problema para debaixo do tapete, sabendo que ele será divulgado de qualquer maneira no fim.

Então, qual é a verdade?

O WhatsApp está atualmente sob ataque ativo de cibercriminosos? Este é um perigo claro e atual?

Quão preocupados os usuários do WhatsApp devem estar?

Em caso de dúvida, consulte a assessoria

Até onde sabemos, os relatórios que circulam no momento são baseados em informações diretamente do próprio WhatsApp 2022 página de consultoria de segurança, que diz [2022-09-27T16:17:00Z]:

Avisos de segurança do WhatsApp 2022 Atualizações Atualização de setembro CVE-2022-36934 Um estouro de número inteiro no WhatsApp para Android anterior à v2.22.16.12, Business para Android anterior à v2.22.16.12, iOS anterior à v2.22.16.12, Business para iOS anterior à v2.22.16.12 poderia resultar na execução remota de código em uma chamada de vídeo estabelecida. CVE-2022-27492 Um estouro de número inteiro no WhatsApp para Android anterior à v2.22.16.2, WhatsApp para iOS v2.22.15.9 pode ter causado a execução remota de código ao receber um arquivo de vídeo criado.

Ambos os bugs estão listados como potencialmente levando a execução remota de código, ou RCE para abreviar, o que significa que dados armadilhados podem forçar o aplicativo a travar e que um invasor habilidoso pode ser capaz de armar as circunstâncias da falha para desencadear um comportamento não autorizado ao longo do caminho.

Normalmente, quando um RCE está envolvido, esse “comportamento não autorizado” significa executar código de programa malicioso, ou malware, para subverter e assumir alguma forma de controle remoto sobre seu dispositivo.

A partir das descrições, presumimos que o primeiro bug exigia uma chamada conectada antes que pudesse ser acionado, enquanto o segundo bug soa como se pudesse ser acionado em outros momentos, por exemplo, ao ler uma mensagem ou visualizar um arquivo já baixado no seu dispositivo .

Os aplicativos móveis geralmente são regulamentados com muito mais rigor pelo sistema operacional do que os aplicativos em laptops ou servidores, onde os arquivos locais geralmente são acessíveis e compartilhados entre vários programas.

Isso, por sua vez, significa que o comprometimento de um único aplicativo móvel geralmente representa menos risco do que um ataque de malware semelhante em seu laptop.

Em seu laptop, por exemplo, seu player de podcast provavelmente pode espiar seus documentos por padrão, mesmo que nenhum deles seja arquivos de áudio, e seu programa de fotos provavelmente pode vasculhar sua pasta de planilhas (e vice-versa).

No seu dispositivo móvel, no entanto, normalmente há uma separação muito mais rígida entre os aplicativos, de modo que, pelo menos por padrão, seu player de podcast não pode ver documentos, seu programa de planilhas não pode navegar por suas fotos e seu aplicativo de fotos não pode ver arquivos de áudio ou documentos.

No entanto, mesmo o acesso a um único aplicativo “sandboxed” e seus dados pode ser tudo o que um invasor deseja ou precisa, especialmente se esse aplicativo for o que você usa para se comunicar de forma segura com seus colegas, amigos e familiares, como o WhatsApp.

O malware do WhatsApp que pode ler suas mensagens anteriores, ou mesmo apenas sua lista de contatos, e nada mais, pode fornecer um tesouro de dados para criminosos online, especialmente se o objetivo deles for aprender mais sobre você e sua empresa para vender isso informações privilegiadas para outros bandidos na dark web.

Um bug de software que abre brechas na segurança cibernética é conhecido como vulnerabilidade, e qualquer ataque que faça uso prático de uma vulnerabilidade específica é conhecido como explorar.

E qualquer vulnerabilidade conhecida no WhatsApp que possa ser explorável para fins de espionagem vale a pena corrigir o mais rápido possível, mesmo que ninguém descubra uma exploração funcional para roubar dados ou implantar malware.

(Nem todas as vulnerabilidades acabam sendo exploráveis ​​para RCE – alguns bugs acabam sendo tão caprichosos que, mesmo que possam ser acionados de forma confiável para provocar uma falha, ou negação de serviço, eles não podem ser domados o suficiente para assumir o controle do aplicativo travado completamente.)

O que fazer?

A boa notícia aqui é que os bugs listados aqui foram aparentemente corrigidos há cerca de um mês, embora os últimos relatórios que vimos impliquem que essas falhas representam um perigo claro e atual para os usuários do WhatsApp.

Como aponta a página de aconselhamento do WhatsApp, esses dois chamados buracos de “dia zero” são corrigidos em todos os sabores do aplicativo, para Android e iOS, com números de versão 2.22.16.12 ou posterior.

De acordo com a App Store da Apple, a versão atual do WhatsApp para iOS (ambos Messenger e Business) já está 2.22.19.78, com cinco atualizações intermediárias lançadas desde a primeira correção que corrigiu os bugs mencionados acima, que já remonta a um mês.

No Google Play, o WhatsApp já está a 2.22.19.76 (a versão nem sempre se alinha exatamente entre os diferentes sistemas operacionais, mas geralmente são próximas).

Em outras palavras, se você configurou seu dispositivo para atualização automática, já deve ter sido corrigido contra essas ameaças do WhatsApp há cerca de um mês.

Para verificar os aplicativos que você instalou, quando eles foram atualizados pela última vez e os detalhes da versão, ppen o app Store aplicativo no iOS ou Play Store no Android.

Toque no ícone da sua conta para acessar a lista de aplicativos instalados em seu dispositivo, incluindo detalhes de quando eles foram atualizados pela última vez e o número da versão atual que você possui.

---