Nueva vulnerabilidad en WhatsApp podría haber permitido la instalación de spyware
Las controversias recientes que rodean el hackeo de WhatsApp aún no se han resuelto, y la plataforma de mensajería más popular del mundo podría estar nuevamente en aguas agitadas.
Nos hemos enterado de que el mes pasado WhatsApp parcheó silenciosamente otra vulnerabilidad crítica en su aplicación.
La mencionada vulnerabilidad podría haber permitido a los atacantes comprometer de forma remota dispositivos específicos y, potencialmente robar mensajes de chat seguros, así como archivos almacenados en ellos.
La vulnerabilidad, identificada como CVE-2019-11931 , es un problema de desbordamiento de búfer, basado en la forma en que residía en las versiones anteriores de WhatsApp. Estas analizan los metadatos de flujo elemental de un archivo MP4, lo que resulta en ataques de denegación de servicio o ejecución remota de código.
Para explotar de forma remota la vulnerabilidad, todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado de manera maliciosa a través de WhatsApp.
Este archivo eventualmente, puede programarse para instalar una puerta trasera maliciosa o una aplicación de spyware en los dispositivos comprometidos, todo esto de manera sigilosa.
La vulnerabilidad afecta tanto a los usuarios comunes como a las aplicaciones empresariales de WhatsApp, para todas las plataformas principales, incluidas Google Android, Apple iOS y Microsoft Windows.
Versiones afectadas
Según un aviso publicado por Facebook, propietario de WhatsApp, la lista de versiones de aplicaciones afectadas es la siguiente:
- Versiones de Android anteriores a 2.19.274
- Versiones de iOS anteriores a 2.19.100
- Enterprise Client versiones anteriores a 2.25.3
- Versiones de Windows Phone anteriores e incluidas 2.18.368
- Business para versiones de Android anteriores a 2.19.104
- Business para versiones de iOS anteriores a 2.19.100
El alcance, la gravedad y el impacto de la vulnerabilidad recientemente parcheada parecen similares a una vulnerabilidad reciente de llamadas VoIP de WhatsApp.
Dicha vulnerabilidad que fue explotada por la compañía israelí NSO Group para instalar el spyware Pegasus en casi 1400 dispositivos, Android e iOS dirigidos en todo el mundo.
Al momento de escribir este artículo, no tenemos claro si la vulnerabilidad MP4 también fue explotada como un zero-day en el entorno, antes de que Facebook se enterara y la reparara.
Nos hemos comunicado con Facebook y WhatsApp para obtener comentarios y actualizaremos el artículo tan pronto como tengamos las respuestas.
Mientras tanto, si te consideras uno de los posibles objetivos de vigilancia y has recibido un archivo de video MP4 aleatorio e inesperado a través de WhatsApp de un número desconocido en los últimos meses, debes prestar más atención a los próximos desarrollos de este evento.
Una vulnerabilidad más…
La vulnerabilidad de WhatsApp MP4 se produjo solo dos semanas después de que Facebook demandó al Grupo NSO, esto por mal uso del servicio de WhatsApp para apuntar a sus usuarios.
Sin embargo, al menos en India, no funcionó como se esperaba, y el gigante de las redes sociales en sí mismo fue objeto de escrutinio por parte del Gobierno.
El gobierno planteó preguntas sobre la seguridad de la aplicación cifrada de extremo a extremo, en lugar de ir tras NSO Group, a quien se le acusas de espiar a más de 100 de sus ciudadanos.
Por ahora, les recomendamos a todos los usuarios se aseguren de ejecutar la última versión de WhatsApp en su dispositivo y que deshabiliten las descargas automáticas de imágenes, archivos de audio y video desde la configuración de la aplicación.
Actualización: un portavoz de Whatsapp nos ha confirmado que la falla recientemente informada de WhatsApp RCE no fue explotada en el entorno para atacar a los usuarios.
“WhatsApp está trabajando constantemente para mejorar la seguridad de nuestro servicio. Hacemos informes públicos sobre posibles problemas que hemos solucionado de manera coherente con las mejores prácticas de la industria. En este caso, no hay razón para creer que los usuarios se vieron afectados”, afirmó el portavoz.