Todo lo que un atacante tiene que hacer es atraer a la víctima para que abra un documento HTML adjunto

WhatsApp, propiedad de Facebook, abordó recientemente dos vulnerabilidades de seguridad en su aplicación de mensajería para Android que podrían haber sido explotadas para ejecutar código malicioso de forma remota en el dispositivo e incluso exfiltrar información confidencial.

Las fallas apuntan a los dispositivos que ejecutan versiones de Android hasta Android 9, incluido, al llevar a cabo lo que se conoce como un ataque de "hombre en el disco" que hace posible que los adversarios comprometan una aplicación al manipular ciertos datos que se intercambian entre ellos y el almacenamiento externo.

"Las dos vulnerabilidades de WhatsApp mencionadas anteriormente habrían hecho posible que los atacantes recopilaran de forma remota material criptográfico TLS para las sesiones TLS 1.3 y TLS 1.2", dijeron el miércoles investigadores de Census Labs.

"Con los secretos de TLS a mano, demostramos cómo un ataque man-in-the-middle (MitM) puede llevar al compromiso de las comunicaciones de WhatsApp, a la ejecución remota de código en el dispositivo de la víctima y a la extracción de las claves del protocolo Noise utilizadas para el cifrado de extremo a extremo en las comunicaciones de los usuarios".

En particular, la falla (CVE-2021-24027) aprovecha el soporte de Chrome para proveedores de contenido en Android (a través del esquema de URL "content://") y una omisión de política del mismo origen en el navegador (CVE-2020-6516), permitiendo así que un atacante envíe un archivo HTML especialmente diseñado a una víctima a través de WhatsApp que, cuando se abre en el navegador, ejecuta el código contenido en el archivo HTML.

Peor aún, el código malicioso se puede utilizar para acceder a cualquier recurso almacenado en el área de almacenamiento externo desprotegido, incluidos los de WhatsApp, que se encontró para guardar los detalles de la clave de la sesión TLS en un subdirectorio, entre otros, y como resultado, exponer información confidencial a cualquier aplicación que esté aprovisionada para leer o escribir desde el almacenamiento externo.

"Todo lo que un atacante tiene que hacer es atraer a la víctima para que abra un documento HTML adjunto", dijo el investigador de Census Labs, Chariton Karamitas. "WhatsApp procesará este archivo adjunto en Chrome, a través de un proveedor de contenido, y el código Javascript del atacante podrá robar las claves de sesión TLS almacenadas".

Armado con las claves, un mal actor puede realizar un ataque de intermediario para lograr la ejecución remota del código o incluso exfiltrar los pares de claves del protocolo Noise - que se utilizan para operar un canal cifrado [PDF] entre el cliente y el servidor para la seguridad de la capa de transporte (y no los mensajes en sí, que se cifran mediante el protocolo Signal) - recopiladas por la aplicación con fines de diagnóstico mediante la activación deliberada de un error de memoria insuficiente de forma remota en el dispositivo de la víctima.

Cuando se produce este error, se activa el mecanismo de depuración de WhatsApp y carga los pares de claves codificadas junto con los registros de la aplicación, la información del sistema y otro contenido de la memoria a un servidor de registros de fallos dedicado ("crashlogs.whatsapp.net"). Pero vale la pena señalar que esto solo ocurre en dispositivos que ejecutan una nueva versión de la aplicación y "han transcurrido menos de 10 días desde la fecha de lanzamiento de la versión actual".

Aunque el proceso de depuración está diseñado para ser invocado para detectar errores fatales en la aplicación, la idea detrás del exploit MitM es generar una excepción mediante programación que forzará la recopilación de datos y activará la carga, solo para interceptar la conexión y "revelar toda la información sensible que se pretendía enviar a la infraestructura interna de WhatsApp".

Para defenderse de tales ataques, Google introdujo en Android 10 una función llamada "almacenamiento de alcance", que le da a cada aplicación un área de almacenamiento aislada en el dispositivo de una manera que ninguna otra aplicación instalada en el mismo dispositivo puede acceder directamente a los datos guardados por otras aplicaciones.

La firma de ciberseguridad dijo que no tiene conocimiento de si los ataques han sido explotados en la naturaleza, aunque en el pasado, se ha abusado de las fallas en WhatsApp para inyectar software espía en los dispositivos de destino y espiar a periodistas y activistas de derechos humanos.

Se recomienda a los usuarios de WhatsApp que actualicen a la versión 2.21.4.18 para mitigar el riesgo asociado con las fallas. Cuando se le solicitó una respuesta, la empresa reiteró que las "claves" que se utilizan para proteger los mensajes de las personas no se están cargando en los servidores y que la información del registro de fallos no permite acceder al contenido del mensaje.

"Trabajamos regularmente con investigadores de seguridad para mejorar las numerosas formas en que WhatsApp protege los mensajes de las personas", dijo un portavoz. "Agradecemos la información que estos investigadores compartieron con nosotros, que ya nos ha ayudado a realizar mejoras en WhatsApp en caso de que un usuario de Android visitara en Chrome un sitio web malicioso. Para ser claros: el cifrado de extremo a extremo sigue funcionando según lo previsto y los mensajes de las personas permanecen seguros y protegidos".

"Hay muchos más subsistemas en WhatsApp que podrían ser de gran interés para un atacante", dijo Karamitas. "La comunicación con servidores upstream y la implementación de cifrado E2E son dos notables. Además, a pesar del hecho de que este trabajo se centró en WhatsApp, otras populares aplicaciones de mensajería de Android (por ejemplo, Viber, Facebook Messenger) o incluso juegos móviles podrían estar exponiendo involuntariamente una superficie de ataque similar a adversarios remotos".

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete