El fallo de seguridad de WhatsApp proviene de un código abierto vulnerable
Está calificada como una vulnerabilidad de alto riesgo -7,8- en la escala CVE. Es comprensible: si no se corrige, puede conducir a la ejecución remota de código (RCE), lo que puede permitir a los atacantes acceder a los archivos y mensajes de los usuarios. El agujero de seguridad también deja a los dispositivos vulnerables a un ataque de denegación de servicio (DoS).
Un desbordamiento del búfer basado en la pila podía activarse en WhatsApp enviando un archivo MP4 especialmente diseñado a un usuario de WhatsApp. El problema estaba presente en el análisis de los metadatos del flujo elemental de un archivo MP4 y podía dar lugar a un DoS o RCE.
WhatsApp trabaja constantemente para mejorar la seguridad de nuestro servicio. Hacemos públicos los informes sobre posibles problemas que hemos solucionado de acuerdo con las mejores prácticas del sector. En este caso, no hay razón para creer que los usuarios se hayan visto afectados.
Aunque es una buena noticia saber que el fallo aún no ha sido explotado, no es razón para no atacarlo con fuerza y rapidez. Estos fallos pueden incorporarse a cadenas de exploits que enlazan vulnerabilidades: una técnica supuestamente utilizada por empresas que anuncian herramientas que pueden romper incluso el cifrado del iPhone de Apple.
El hackeo de WhatsApp expone una vulnerabilidad de seguridad en 1.500 millones
WhatsApp para Android con un número de versión inferior a la 2.19.274, para iOS con un número de versión inferior a la 2.19.100, para clientes empresariales con un número de versión inferior a la 2.25.3, para Business para Android con un número de versión inferior a la 2.19.104, para Business para iOS con un número de versión inferior a la 2.19.100 y para Windows Phone con un número de versión inferior a la 2.18.368, inclusive, son propensos a estos ataques. Sin embargo, hasta el momento, no hay ningún informe de que esta vulnerabilidad de WhatsApp haya sido explotada en la naturaleza.
En septiembre de este año se descubrió otra vulnerabilidad de WhatsApp, concretamente la CVE-2019-11932. La causa raíz de esta vulnerabilidad era diferente, pero los efectos posteriores de la explotación eran similares a los de la vulnerabilidad anterior. Para explotarla, los adversarios necesitaban un archivo de imagen GIF especialmente diseñado en lugar de un archivo MP4. Para explotar la vulnerabilidad, el atacante podía enviar un archivo ‘. gif’ especialmente diseñado a la víctima a través de WhatsApp. Si el atacante está en la lista de contactos de la víctima, el archivo GIF malicioso se descargará automáticamente sin ninguna interacción y se guardará en la galería multimedia. Cuando la víctima abre la galería de WhatsApp para compartir un archivo de imagen con cualquiera de sus amigos de WhatsApp, el fallo se activaría, permitiendo potencialmente un ataque de ejecución remota de código (RCE).
CVE-2019-3568 | NSO Pegasus Spyware Hack Exploit
Una vulnerabilidad de día cero descubierta recientemente en el mensajero más popular del mundo, WhatsApp, permitía a los hackers espiar a los usuarios, leer sus chats encriptados, encender el micrófono y la cámara, e instalar un software espía que permite una vigilancia aún mayor, como navegar por las fotos y vídeos de la víctima, acceder a su lista de contactos, etc. Y lo que es peor, para explotar la vulnerabilidad, lo único que necesita el hacker es llamar a la víctima por WhatsApp.
La información fiable sobre la situación es algo escasa en este momento. Lo que sí se sabe es que una llamada especialmente diseñada puede desencadenar un desbordamiento de búfer en WhatsApp, permitiendo a los hackers tomar el control de la aplicación y ejecutar código arbitrario en ella. Al parecer, los atacantes utilizaron ese método no solo para fisgonear los chats y las llamadas de los usuarios, sino también para aprovechar vulnerabilidades hasta ahora desconocidas en el sistema operativo, lo que les permitió instalar aplicaciones en el dispositivo. Y eso es lo que hicieron, instalar una aplicación espía.
Ya se han detectado intentos de explotar esta vulnerabilidad en la naturaleza. El equipo de seguridad de WhatsApp había implementado algunos cambios en el back-end que permitían bloquear los ataques que se basaban en la vulnerabilidad, pero aún no se ha revelado cuántas personas fueron espiadas ni quiénes fueron.
¿Son WhatsApp y otras aplicaciones de mensajería más vulnerables?
Después de leer esto, te estarás preguntando qué significa un «desbordamiento del búfer basado en la pila». Pues bien, en términos sencillos, un «desbordamiento de búfer» es una anomalía en la que un programa, al escribir datos en un búfer, sobrepasa el límite del mismo (que generalmente está predefinido) y sobrescribe las posiciones de memoria adyacentes.
Los dispositivos comprometidos corren el riesgo de denegación de servicio o incluso de ejecución remota de código en el dispositivo infectado. Esto podría suponer el riesgo de plantar malware en un dispositivo infectado, un dispositivo utilizado para espiar o incluso una toma de posesión remota.
Ahora, WhatsApp ha sido noticia con bastante frecuencia en las últimas semanas y es debido a los graves problemas de privacidad que se derivan de que la plataforma sea utilizada por la empresa israelí de software espía NSO. Ahora sabemos que la suite utilizada por NSO para vulnerar WhatsApp, llamada Pegasus, costó millones y sólo era accesible para los estados nacionales. Entonces se reveló que Pegasus se utilizó para atacar a más de 1.400 periodistas y activistas de todo el mundo, incluidos los de la India.
Es poco probable que la vulnerabilidad del mp4 esté relacionada de alguna manera con Pegasus y con el mecanismo por el que explotó WhatsApp, pero si aún no has actualizado tu aplicación, deberías hacerlo inmediatamente.