Todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado de manera maliciosa
Las recientes controversias que rodean el pirateo de WhatsApp aún no se han resuelto, y la plataforma de mensajería más popular del mundo podría estar nuevamente en aguas agitadas.
The Hacker News se enteró de que el mes pasado WhatsApp parcheó silenciosamente otra vulnerabilidad crítica en su aplicación que podría haber permitido a los atacantes comprometer remotamente los dispositivos específicos y potencialmente robar mensajes de chat seguros y archivos almacenados en ellos.
La vulnerabilidad, rastreada como CVE-2019-11931, es un problema de desbordamiento de búfer basado en la pila que residía en la forma en que las versiones anteriores de WhatsApp analizan los metadatos de flujo elemental de un archivo MP4, lo que resulta en ataques de denegación de servicio o ejecución remota de código.
Para explotar de forma remota la vulnerabilidad, todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles a través de WhatsApp un archivo MP4 creado de manera maliciosa, que eventualmente se puede programar para instalar silenciosamene una puerta trasera maliciosa o una aplicación de spyware en los dispositivos comprometidos.
La vulnerabilidad afecta tanto a los consumidores como a las aplicaciones empresariales de WhatsApp para todas las plataformas principales, incluidas Google Android, Apple iOS y Microsoft Windows.
Según un aviso publicado por Facebook, propietaria de WhatsApp, la lista de versiones de aplicaciones afectadas es la siguiente:
• Versiones de Android anteriores a 2.19.274
• Versiones de iOS anteriores a 2.19.100
• Versiones de Enterprise Client anteriores a 2.25.3
• Versiones de Windows Phone anteriores e incluida 2.18.368
• Business para versiones de Android anteriores a 2.19.104
• Business para versiones de iOS anteriores a 2.19.100
El alcance, la gravedad y el impacto de la vulnerabilidad recientemente parcheada parecen similares a una vulnerabilidad reciente de llamadas VoIP de WhatsApp que fue explotada por la compañía israelí NSO Group para instalar el spyware Pegasus en casi 1,400 dispositivos Android e iOS dirigidos en todo el mundo.
Al momento de escribir este artículo, no está claro si la vulnerabilidad MP4 también fue explotada en la naturaleza como un día cero antes de que Facebook se enterara y la reparara.
Mientras tanto, te consideras uno de los posibles objetivos de vigilancia y has recibido en los últimos meses un archivo de vídeo MP4 aleatorio e inesperado a través de WhatsApp de un número desconocido, debe prestar más atención a los próximos desarrollos de este evento.
La vulnerabilidad de WhatsApp MP4 se produjo solo dos semanas después de que Facebook demandó al Grupo NSO por mal uso del servicio de WhatsApp para apuntar a sus usuarios.
Sin embargo, al menos en India, no salió tan bien como se esperaba, y el gigante de las redes sociales en sí mismo fue objeto de escrutinio por parte del Gobierno, que planteó preguntas sobre la seguridad de su aplicación cifrada de extremo a extremo en lugar de ir tras el Grupo NSO por dirigirse a más de 100 de sus ciudadanos.
Por ahora, se recomienda que todos los usuarios se aseguren de ejecutar la última versión de WhatsApp en su dispositivo y deshabiliten las descargas automáticas de imágenes, archivos de audio y vídeo desde la configuración de la aplicación.
Actualización: un portavoz de Whatsapp confirmó a The Hacker News que la falla recientemente informada de WhatsApp RCE no fue explotada en la naturaleza para apuntar a sus usuarios.
"WhatsApp está trabajando constantemente para mejorar la seguridad de nuestro servicio. Hacemos informes públicos sobre posibles problemas que hemos solucionado de acuerdo con las mejores prácticas de la industria. En este caso, no hay razón para creer que los usuarios se vieron afectados", dijo WhatsApp a THN.