O WhatsApp do Facebook abordou recentemente duas vulnerabilidades de segurança em seu aplicativo de mensagens para Android que poderiam ter sido exploradas para executar código malicioso remotamente no dispositivo e até mesmo exfiltrar informações confidenciais.
As falhas visam dispositivos que executam versões do Android até e incluindo o Android 9, realizando o que é conhecido como um ataque "man-in-the-disk" que possibilita que adversários comprometam um aplicativo manipulando certos dados trocados entre ele e o armazenamento externo.
"As duas vulnerabilidades do WhatsApp mencionadas anteriormente teriam possibilitado aos invasores coletar remotamente material criptográfico TLS para sessões TLS 1.3 e TLS 1.2", disseram pesquisadores do Census Labs .
"Com os segredos TLS em mãos, vamos demonstrar como um ataque man-in-the-middle (MitM) pode levar ao comprometimento das comunicações do WhatsApp, à execução remota de código no dispositivo da vítima e à extração das chaves do protocolo Noise usadas para criptografia ponta a ponta nas comunicações do usuário. "
Em particular, a falha ( CVE-2021-24027 ) aproveita o suporte do Chrome para provedores de conteúdo no Android (por meio do esquema de URL "content: //") e um desvio de política de mesma origem no navegador (CVE-2020-6516), permitindo assim que um invasor envie um arquivo HTML especialmente criado para uma vítima pelo WhatsApp, que, quando aberto no navegador, executa o código contido no arquivo HTML.
Pior, o código malicioso pode ser usado para acessar qualquer recurso armazenado na área de armazenamento externo desprotegido, incluindo aqueles do WhatsApp, que foi encontrado para salvar detalhes da chave da sessão TLS em um subdiretório, entre outros, e, como resultado, expor dados confidenciais informações a qualquer aplicativo provisionado para leitura ou gravação do armazenamento externo.
"Tudo o que um invasor precisa fazer é induzir a vítima a abrir um anexo de documento HTML", disse o pesquisador do Census Labs Chariton Karamitas. "O WhatsApp irá renderizar este anexo no Chrome, através de um provedor de conteúdo, e o código Javascript do invasor será capaz de roubar as chaves de sessão TLS armazenadas."
Armado com as chaves, um malfeitor pode encenar um ataque man-in-the-middle para obter a execução remota do código ou até mesmo exfiltrar os pares de chaves do protocolo Noise - que são usados para operar um canal criptografado entre o cliente e o servidor para a camada de transporte segurança (e não as próprias mensagens, que são criptografadas usando o protocolo Signal) - coletadas pelo aplicativo para fins de diagnóstico, deliberadamente acionando um erro de memória insuficiente remotamente no dispositivo da vítima
Quando esse erro é lançado, o mecanismo de depuração do WhatsApp entra em ação e carrega os pares de chaves codificadas junto com os logs do aplicativo, informações do sistema e outro conteúdo de memória para um servidor dedicado de logs de travamento ("crashlogs.whatsapp.net"). Mas é importante notar que isso ocorre apenas em dispositivos que executam uma nova versão do aplicativo e "menos de 10 dias se passaram desde a data de lançamento da versão atual."
Embora o processo de depuração seja projetado para ser invocado para detectar erros fatais no aplicativo, a ideia por trás do exploit MitM é causar programaticamente uma exceção que forçará a coleta de dados e iniciará o upload, apenas para interceptar a conexão e "revelar tudo as informações confidenciais que deveriam ser enviadas para a infraestrutura interna do WhatsApp. "
Para se defender contra esses ataques, o Google introduziu um recurso chamado " armazenamento com escopo " no Android 10, que dá a cada aplicativo uma área de armazenamento isolada no dispositivo de forma que nenhum outro aplicativo instalado no mesmo dispositivo possa acessar diretamente os dados salvos por outros aplicativos .
A empresa de segurança cibernética disse não ter conhecimento se os ataques foram explorados em liberdade, embora, no passado, falhas no WhatsApp tenham sido usadas para injetar spyware em dispositivos alvo e espionar jornalistas e ativistas de direitos humanos .
Recomenda-se aos usuários do WhatsApp que atualizem para a versão 2.21.4.18 para mitigar o risco associado às falhas. Quando solicitada uma resposta, a empresa reiterou que as "chaves" que são utilizadas para proteger as mensagens das pessoas não estão sendo enviadas para os servidores e que as informações do log de travamento não permitem o acesso ao conteúdo das .
"Existem muitos outros subsistemas no WhatsApp que podem ser de grande interesse para um invasor", disse Karamitas. "A comunicação com os servidores upstream e a implementação da criptografia E2E são dois notáveis. Além disso, apesar do fato de que este trabalho foi focado no WhatsApp, outros aplicativos de mensagens Android populares (por exemplo, Viber, Facebook Messenger) ou mesmo jogos para celular podem estar expondo involuntariamente superfície de ataque semelhante para adversários remotos. "
