Un bug en WhatsApp pudo permitir a hackers instalar spyware en dispositivos

0

Una vulnerabilidad en WhatsApp pudo permitir que hacers instalen spyware en dispositivos Android, iOS y Windows

Una vulnerabilidad en WhatsApp pudo permitir que hacers instalen spyware en dispositivos Android, iOS y Windows

WhatsApp parcheó de forma silenciosa el mes pasado, una vulnerabilidad crítica en su aplicación, que podría haber permitido a hackers comprometer de forma remota dispositivos específicos y potencialmente robar mensajes de chat seguros y archivos almacenados en ellos.

La vulnerabilidad, rastreada como CVE-2019-11931, es un problema de desbordamiento de búfer basado en la pila que residía en la forma en que las versiones anteriores de WhatsApp analizan los metadatos de flujo elemental de un archivo MP4, lo que resulta en ataques de denegación de servicio o ejecución remota de código.

Para explotar remotamente la vulnerabilidad, lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado de forma maliciosa por medio de WhatsApp, que eventualmente se puede programar para instalar una puerta trasera maliciosa o una aplicación de spyware en los dispositivos comprometidos en silencio.

La vulnerabilidad afecta a los consumidores y a las aplicaciones empresariales de WhatsApp para todas las plataformas principales, incluidas Android, iOS y Windows.

Según un aviso publicado por Facebook, la lista de versiones de app afectadas es la siguiente:

  • Versiones de Android anteriores a 2.19.274
  • Versiones de iOS anteriores a 2.19.100
  • Enterprise Client versiones anteriores a 2.25.3
  • Versiones de Windows Phone anteriores e incluidas 2.18.368
  • Business para versiones de Android anteriores a 2.19.104
  • Business para versiones de iOS anteriores a 2.19.100

El alcance y gravedad de la vulnerabilidad tuvo similitudes con una vulnerabilidad reciente de llamadas VoIP de WhatsApp, que fue explotada por la compañía israelí NSO Group para instalar el spyware Pegasus en casi 1400 dispositivos Android e iOS.

Hasta ahora, no está claro si la vulnerabilidad MP4 también fue explotada como un día cero en la naturaleza antes de que Facebook se haya entererado y la haya resparado.

Esta vulnerabilidad relacionada con archivos MP4, se da a solo dos semanas luego de que Facebook demandó a NSO Group por el mal uso del servicio de WhatsApp.

Mientras tanto, se recomienda a todos los usuarios que ejecuten la última versión de WhatsApp y deshabilitar las descargas automáticas de imágenes, archivos de audio y video.

Actualización: Un portavoz de WhatsApp confirmó a THN que la falla recientemente informada no fue explotada en la naturaleza.

«WhatsApp está trabajando constantemente para mejorar la seguridad de nuestro servicio. Hacemos informes públicos sobre los posibles problemas que hemos solucionado de forma coherente con las mejores prácticas de la industria. En este caso, no existe razón para creer que los usuarios se vieron afectados», dijo la compañía.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *