Bom, um pesquisador independente chamado  Indrajeet Bhuyan conseguiu achar uma falha no Whatsapp que permite parar o Whatsapp por completo simplesmente enviando alguns smileys.

Cerca de 4000 smileys simples são o suficiente para travar o Whatsapp  e o truque funciona em ambas as versões do aplicativo, tanto o Whatsapp Web e a versão móvel do app.

O pesquisador relatou sua descoberta para o pessoal do The Hacker News e o impacto pode ser considerado grave se considerarmos que pelo menos um milhão de usuários podem ser afetados pelo problema.

Bhuyan não é novo neste tipo de descoberta pois no início do ano ele relatou dois erros no aplicativos de mensagens  que é um bug na parte de privacidade do Whatsapp e uma falha na sincronização de fotos do Whatsapp Web.

No ano passado o especialista reportou uma falha que era possível explorar enviando 2000 palavras ( 2 Kb ) de mensagens com caracteres especiais que foram criadas especialmente para causar um crash no aplicativo.

Uma vez descoberto o bug o Whatsapp prontamente resolveu o problema definindo os limites de caracteres para mensagens de texto no Whatsapp.

Agora parece que uma solução semelhante será necessária para evitar este novo problema, já que sei lá né, pode ser que algum maluco resolva enviar por volta de 4000  caracteres em uma mensagem ou resposta para alguém.

No Whatsapp Web , o Whatsapp permite que se envie 65500-6600  caracteres, mas após se digitar por volta de 4200-4400 smileys o navegador começa a desacelerar “, escreveu Bhuyan em seu blog.

“Mas enquanto o limite não é alcançado o Whatsapp ainda permite a inserção … e quando recebe a mensagem o buffer estoura e ele deixa de funcionar”.

O pesquisador testou com sucesso o ataque via navegador do PC ( Firefox, Chrome, Android Marshmallow, Lollipop, Kitkat Mobile – Moto E gen 1 com um 1 gb de RAM, ASUS Zenfone 2 Laser com 2 GB de RAM e o OnePlus 2 com 4 GB de RAM ).

O ataque tem um comportamento diferente contra os dispositivos iPhone já que neles o aplicativo só trava por alguns segundos mas não pára como um todo.

Bhuyan publico um vídeo com uma prova de conceito do ataque.

O problema disto é que há dois cenários que podem ser um problema para os usuários.

Suponha que um atacante tem que enviar uma mensagem abusiva ou está chantageando uma vítima. Se o ataque for usada a vítima não poderá mostrar a mensagem como prova uma vez que se a  vítima recebe o emoticon ( mostrado no vídeo ) todo o bate-papo com o atacante irá falhar e a vítima não será capaz de abri-lo. A vítima terá que apagar todo o bate-papo com o atacante a fim de usar o Whatsapp normalmente. Isso também pode ser usado para fazer um ataque de negação de serviço no navegador e com isto, o mesmo irá dar o famoso erro de “não respondendo”. Relatei a falha para o Whatsapp e vamos esperar que ele consertem tudo em uma próxima versão” explicou Bhuyan.

Assim, caso você seja vítima deste tipo de ataque a única possibilidade é apagar todo o chat aonde recebeu os smileys e torcer para nenhum amigo troll ou meliante volte a lhe causar problemas.

Via The hacker News