El mes pasado WhatsApp parcheó silenciosamente otra vulnerabilidad crítica en su aplicación que podría haber permitido a los atacantes comprometer remotamente los dispositivos específicos y potencialmente robar mensajes de chat seguros y archivos almacenados en ellos.
La vulnerabilidad, rastreada como CVE-2019-11931 , es un problema de desbordamiento de búfer basado en la pila que residía en la forma en que las versiones anteriores de WhatsApp analizan los metadatos de flujo elemental de un archivo MP4, lo que resulta en ataques de denegación de servicio o ejecución remota de código.
Para explotar de forma remota la vulnerabilidad, todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado de manera maliciosa a través de WhatsApp, que eventualmente se puede programar para instalar una puerta trasera maliciosa o una aplicación de spyware en los dispositivos comprometidos en silencio.
La vulnerabilidad afecta tanto a los consumidores como a las aplicaciones empresariales de WhatsApp para todas las plataformas principales, incluidas Google Android, Apple iOS y Microsoft Windows.
Según un aviso publicado por Facebook, propietario de WhatsApp, la lista de versiones de aplicaciones afectadas es la siguiente:
- Versiones de Android anteriores a 2.19.274
- Versiones de iOS anteriores a 2.19.100
- Enterprise Client versiones anteriores a 2.25.3
- Versiones de Windows Phone anteriores e incluidas 2.18.368
- Business para versiones de Android anteriores a 2.19.104
- Business para versiones de iOS anteriores a 2.19.100
El alcance, la gravedad y el impacto de la vulnerabilidad recientemente parcheada parecen similares a una vulnerabilidad reciente de llamadas VoIP de WhatsApp que fue explotada por la compañía israelí NSO Group para instalar el spyware Pegasus en casi 1400 dispositivos Android e iOS dirigidos en todo el mundo.
Al momento de escribir este artículo, no está claro si la vulnerabilidad MP4 también fue explotada como un día cero en la naturaleza antes de que Facebook se enterara y la reparara.
The Hacker News se ha comunicado con Facebook y WhatsApp para obtener comentarios y actualizará el artículo tan pronto como tengamos noticias suyas.
Mientras tanto, si se considera uno de los posibles objetivos de vigilancia y ha recibido un archivo de video MP4 aleatorio e inesperado a través de WhatsApp de un número desconocido en los últimos meses, debe prestar más atención a los próximos desarrollos de este evento.
La vulnerabilidad de WhatsApp MP4 se produjo solo dos semanas después de que Facebook demandó al Grupo NSO por mal uso del servicio de WhatsApp para apuntar a sus usuarios.
Sin embargo, al menos en India, no salió bien como se esperaba, y el gigante de las redes sociales en sí fue objeto de escrutinio por parte del Gobierno, que planteó preguntas sobre la seguridad de su aplicación cifrada de extremo a extremo en lugar de ir tras el Grupo NSO por dirigido a más de 100 de sus ciudadanos.
Por ahora, se recomienda que todos los usuarios se aseguren de ejecutar la última versión de WhatsApp en su dispositivo y deshabiliten las descargas automáticas de imágenes, archivos de audio y video desde la configuración de la aplicación.
Actualización: un portavoz de Whatsapp confirmó a The Hacker News que la falla recientemente informada de WhatsApp RCE no fue explotada en la naturaleza para apuntar a sus usuarios.
«WhatsApp está trabajando constantemente para mejorar la seguridad de nuestro servicio. Hacemos informes públicos sobre posibles problemas que hemos solucionado de manera coherente con las mejores prácticas de la industria. En este caso, no hay razón para creer que los usuarios se vieron afectados», dijo WhatsApp a THN.
Fuente: thehackernews.com