Whatsapp ha parcheado recientemente una vulnerabilidad grave que los atacantes estaban explotando para instalar de forma remota malware de vigilancia en algunos teléfonos inteligentes «seleccionados» simplemente llamando a los números de teléfono específicos a través de la llamada de audio de Whatsapp.
Descubierto, armado y luego vendido por la compañía israelí NSO Group que produce el spyware móvil más avanzado del planeta, el exploit de WhatsApp instala software espía pegaso en dispositivos Android e iOS.
Según un aviso publicado por Facebook, una vulnerabilidad de desbordamiento de búfer en la pila de VOIP de WhatsApp permite a atacantes remotos ejecutar código arbitrario en los teléfonos objetivo mediante el envío de una serie especialmente diseñada de paquetes SRTCP.
Al parecer, la vulnerabilidad, identificada como CVE-2019-3568puede explotarse con éxito para instalar el software espía y robar datos de un teléfono Android o iPhone objetivo simplemente haciendo una llamada de WhatsApp, incluso cuando no se responde la llamada.
Además, la víctima no podría enterarse de la intrusión después, ya que el spyware borra la información de las llamadas entrantes de los registros para operar sigilosamente.
Aunque aún no se conoce el número exacto de usuarios de WhatsApp objetivo, los ingenieros de WhatsApp confirmaron que solo un «número selecto» de usuarios fueron atacados por el spyware de NSO Group utilizando esta vulnerabilidad.
Mientras tanto, Citizen Lab, un grupo de vigilancia de la Universidad de Toronto que investiga las actividades de NSO Group, creer la vulnerabilidad se utilizó para atacar a un abogado de derechos humanos con sede en el Reino Unido tan recientemente como el domingo.
El software espía Pegasus de NSO Group permite a los atacantes acceder a una cantidad increíble de datos de los teléfonos inteligentes de las víctimas de forma remota, incluidos sus mensajes de texto, correos electrónicos, mensajes de WhatsApp, detalles de contacto, registro de llamadas, ubicación, micrófono y cámara, todo sin el conocimiento de las víctimas.
El software espía desagradable se ha utilizado anteriormente contra activistas de derechos humanos y periodistas, desde México hasta los Emiratos Árabes Unidos, y el personal de Amnistía Internacional en Arabia Saudita y otro defensor de los derechos humanos saudita en el extranjero a principios del año pasado.
La vulnerabilidad afecta a todos excepto a la última versión de WhatsApp en iOS y Android, lo que significa que la falla afectó a los 1.500 millones de personas que usan WhatsApp hasta ayer, cuando Facebook finalmente solucionó el problema.
«El problema afecta a WhatsApp para Android antes de la v2.19.134, WhatsApp Business para Android antes de la v2.19.44, WhatsApp para iOS antes de la v2.19.51, WhatsApp Business para iOS antes de la v2.19.51, WhatsApp para Windows Phone antes de la v2. 18.348 y WhatsApp para Tizen antes de v2.18.15”, dice Facebook.
Los ingenieros de WhatsApp descubrieron la vulnerabilidad a principios de este mes y alertaron al Departamento de Justicia sobre el problema. Animan a los usuarios de iOS y Android a actualizar sus aplicaciones a la última versión de la popular aplicación de mensajería lo antes posible.