WhatsApp, propiedad de Facebook, abordó recientemente dos vulnerabilidades de seguridad en su aplicación de mensajería para Android que podrían haberse aprovechado para ejecutar código malicioso de forma remota en el dispositivo e incluso filtrar información confidencial.
Las fallas apuntan a los dispositivos que ejecutan versiones de Android hasta Android 9 inclusive al llevar a cabo lo que se conoce como un ataque de «hombre en el disco» que hace posible que los adversarios comprometan una aplicación al manipular ciertos datos que se intercambian entre ella. y el almacenamiento externo.
«Las dos vulnerabilidades de WhatsApp antes mencionadas habrían hecho posible que los atacantes recopilaran de forma remota material criptográfico TLS para sesiones TLS 1.3 y TLS 1.2», dijeron hoy investigadores de Census Labs.
«Con los secretos de TLS a la mano, demostraremos cómo un ataque de hombre en el medio (MitM) puede comprometer las comunicaciones de WhatsApp, la ejecución remota de código en el dispositivo de la víctima y la extracción de las claves del protocolo Noise utilizadas. para el cifrado de extremo a extremo en las comunicaciones de los usuarios».
En particular, la falla (CVE-2021-24027) aprovecha el soporte de Chrome para proveedores de contenido en Android (a través del esquema de URL «contenido: //») y una omisión de política del mismo origen en el navegador (CVE-2020-6516), lo que permite que un atacante envíe un archivo HTML especialmente diseñado a una víctima a través de WhatsApp, que, cuando se abre en el navegador, ejecuta el código contenido en el archivo HTML.
Peor aún, el código malicioso se puede usar para acceder a cualquier recurso almacenado en el área de almacenamiento externo desprotegido, incluidos los de WhatsApp, que se descubrió que guardaba los detalles de la clave de la sesión TLS en un subdirectorio, entre otros, y como resultado, exponía datos confidenciales. información a cualquier aplicación que esté aprovisionada para leer o escribir desde el almacenamiento externo.
«Todo lo que un atacante tiene que hacer es atraer a la víctima para que abra un documento HTML adjunto», dijo Chariton Karamitas, investigador de Census Labs. «WhatsApp procesará este archivo adjunto en Chrome, a través de un proveedor de contenido, y el código Javascript del atacante podrá robar las claves de sesión TLS almacenadas».
Armado con las claves, un mal actor puede organizar un ataque de intermediario para lograr la ejecución remota del código o incluso exfiltrar los pares de claves del protocolo Noise, que se utilizan para operar un canal cifrado entre el cliente y el servidor para la capa de transporte. seguridad (y no los mensajes en sí mismos, que se cifran mediante el protocolo Signal): recopilada por la aplicación con fines de diagnóstico al activar deliberadamente un error de falta de memoria de forma remota en el dispositivo de la víctima
Cuando se produce este error, el mecanismo de depuración de WhatsApp se activa y cargas los pares de claves codificadas junto con los registros de la aplicación, la información del sistema y otro contenido de la memoria en un servidor de registros de fallas dedicado («crashlogs.whatsapp.net»). Pero vale la pena señalar que esto solo ocurre en dispositivos que ejecutan una nueva versión de la aplicación y «han transcurrido menos de 10 días desde la fecha de lanzamiento de la versión actual».
Aunque el proceso de depuración está diseñado para ser invocado para detectar errores fatales en la aplicación, la idea detrás del exploit MitM es causar una excepción mediante programación que forzará la recopilación de datos y activará la carga, solo para interceptar la conexión y «revelar todos los datos». la información sensible que se pretendía enviar a la infraestructura interna de WhatsApp”.
Para defenderse de tales ataques, Google introdujo una característica llamada «almacenamiento de alcance» en Android 10, que le da a cada aplicación un área de almacenamiento aislada en el dispositivo de manera que ninguna otra aplicación instalada en el mismo dispositivo pueda acceder directamente a los datos guardados por otras aplicaciones. .
La firma de seguridad cibernética dijo que no tiene conocimiento sobre si los ataques han sido explotados en la naturaleza, aunque en el pasado se abusó de las fallas en WhatsApp para inyectar software espía en los dispositivos objetivo y espiar a periodistas y activistas de derechos humanos.
Se recomienda a los usuarios de WhatsApp que actualicen a la versión 2.21.4.18 para mitigar el riesgo asociado con las fallas. Cuando se le solicitó una respuesta, la empresa reiteró que las «claves» que se utilizan para proteger los mensajes de las personas no se están cargando en los servidores y que la información del registro de fallas no le permite acceder al contenido del mensaje.
«Trabajamos regularmente con investigadores de seguridad para mejorar las numerosas formas en que WhatsApp protege los mensajes de las personas», dijo un portavoz a The Hacker News. «Agradecemos la información que estos investigadores compartieron con nosotros, que ya nos ayudó a realizar mejoras en WhatsApp en caso de que un usuario de Android visitara un sitio web malicioso en Chrome. Para ser claros: el cifrado de extremo a extremo continúa funcionando según lo previsto y las personas los mensajes permanecen seguros y protegidos».
«Hay muchos más subsistemas en WhatsApp que podrían ser de gran interés para un atacante», dijo Karamitas. «La comunicación con los servidores ascendentes y la implementación del cifrado E2E son dos notables. Además, a pesar de que este trabajo se centró en WhatsApp, otras aplicaciones populares de mensajería de Android (por ejemplo, Viber, Facebook Messenger) o incluso los juegos móviles podrían estar exponiendo involuntariamente un superficie de ataque similar a los adversarios remotos».
