Las controversias recientes en torno a la piratería de WhatsApp aún no se han resuelto, y la plataforma de mensajería más popular del mundo podría estar en aguas agitadas una vez más.
The Hacker News se enteró de que el mes pasado, WhatsApp parchó silenciosamente otra vulnerabilidad crítica en su aplicación que podría haber permitido a los atacantes comprometer de forma remota los dispositivos objetivo y potencialmente robar mensajes de chat seguros y archivos almacenados en ellos.
La vulnerabilidad – rastreada como CVE-2019-11931 – es un problema de desbordamiento de búfer basado en la pila que residía en la forma en que las versiones anteriores de WhatsApp analizaban los metadatos de flujo elemental de un archivo MP4, lo que resultaba en ataques de denegación de servicio o ejecución remota de código.
Para explotar la vulnerabilidad de forma remota, todo lo que un atacante necesita es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado con fines maliciosos a través de WhatsApp, que eventualmente se puede programar para instalar una puerta trasera maliciosa o una aplicación de software espía en los dispositivos comprometidos en silencio.
La vulnerabilidad afecta tanto a los consumidores como a las aplicaciones empresariales de WhatsApp para todas las plataformas principales, incluidas Google Android, Apple iOS y Microsoft Windows.
Según un aviso publicado por Facebook, propietario de WhatsApp, la lista de versiones de aplicaciones afectadas es la siguiente:
- Versiones de Android anteriores a la 2.19.274
- Versiones de iOS anteriores a la 2.19.100
- Versiones de Enterprise Client anteriores a la 2.25.3
- Versiones de Windows Phone anteriores a la 2.18.368 inclusive
- Business para versiones de Android anteriores a la 2.19.104
- Business para versiones de iOS anteriores a la 2.19.100
El alcance, la gravedad y el impacto de la vulnerabilidad recientemente parcheada parecen similares a una vulnerabilidad de llamada VoIP de WhatsApp reciente que fue explotada por la empresa israelí NSO Group para instalar el software espía Pegasus en casi 1400 dispositivos Android e iOS específicos en todo el mundo.
Al momento de escribir este artículo, no está claro si la vulnerabilidad MP4 también fue explotada como un día cero antes de que Facebook se enterara y la parcheara.
Hacker News se ha comunicado con Facebook y WhatsApp para hacer comentarios y actualizará el artículo tan pronto como tengamos noticias de ellos.
Mientras tanto, si se considera uno de los posibles objetivos de vigilancia y ha recibido un archivo de video MP4 aleatorio e inesperado a través de WhatsApp de un número desconocido en los últimos meses, debe prestar más atención a los próximos desarrollos de este evento.
La vulnerabilidad de WhatsApp MP4 se produjo solo dos semanas después de que Facebook demandara a NSO Group por hacer un mal uso del servicio de WhatsApp para atacar a sus usuarios.
Lea también: Solo una imagen GIF podría haber pirateado su teléfono Android usando WhatsApp
Sin embargo, al menos en India, no funcionó como se esperaba, y el propio gigante de las redes sociales fue objeto de escrutinio por parte del Gobierno, que planteó dudas sobre la seguridad de su aplicación cifrada de extremo a extremo en lugar de perseguir a NSO Group por apuntando a más de 100 de sus ciudadanos.
Por ahora, se recomienda que todos los usuarios se aseguren de tener la última versión de WhatsApp en su dispositivo y deshabiliten las descargas automáticas de archivos de imágenes, audio y video desde la configuración de la aplicación.
Actualizar – Un portavoz de Whatsapp confirmó a The Hacker News que la falla de WhatsApp RCE recientemente informada no se explotó en la naturaleza para apuntar a sus usuarios.
«WhatsApp trabaja constantemente para mejorar la seguridad de nuestro servicio. Hacemos informes públicos sobre posibles problemas que hemos solucionado de acuerdo con las mejores prácticas de la industria. En este caso, no hay razón para creer que los usuarios se vieron afectados», dijo WhatsApp a THN.
