WhatsApp ha parcheado recientemente una vulnerabilidad crítica de seguridad para su versión de Android, la cual estuvo sin parchear por lo menos durante 3 meses después de ser descubierta, esta falla al ser explotada podría permitir que los ciberdelincuentes comprometan de forma remota dispositivos Android, con el fin de robar archivos y mensajes privados de conversaciones.
La vulnerabilidad rastreada como CVE-2019-11932, está asociada a un problema de corrupción de memoria (double-free), la cual no reside en el código fuente de WhatsApp como tal, sino en una biblioteca de análisis de imágenes .GIF de código abierto que utiliza WhatsApp en su versión de Android.
Descubierta por un investigador de seguridad en mayo de este año, la falla conduce con éxito a ataques de ejecución remota de código (RCE), lo que permite a los atacantes ejecutar código malicioso en dispositivos objetivos con WhatsApp junto a los permisos que la aplicación tenga en el dispositivo.
¿Cómo funciona esta vulnerabilidad? WhatsApp utiliza la biblioteca de análisis en cuestión para generar una vista previa de los archivos GIF cuando los usuarios abren la galería de su dispositivo antes de enviar cualquier archivo multimedia a sus contactos. Por lo tanto, hay que tener en cuenta que la vulnerabilidad no se activa al enviar un archivo GIF malicioso hacía la víctima; en su lugar, se ejecuta cuando la propia víctima simplemente abre el Selector de Galería de WhatsApp mientras intenta enviar cualquier archivo multimedia a algún destinatario.
Para explotar este problema, todo lo que un atacante debe hacer es enviar un archivo GIF malicioso manipulado hacia un usuario Android objetivo a través de cualquier canal de comunicación en línea y esperar a que el usuario simplemente abra la galería de imágenes en WhatsApp. Sin embargo, si los atacantes desean enviar el archivo GIF a las víctimas a través de cualquier plataforma de mensajería como WhatsApp o Messenger, deben enviarlo como un archivo de documento en lugar de un archivo adjunto multimedia, porque la compresión de imágenes utilizada por estos servicios distorsiona la carga maliciosa oculta en las imágenes.
La vulnerabilidad fue informada a Facebook, propietario de WhatsApp, a fines de julio de este año, la compañía incluyó un parche de seguridad en WhatsApp en su versión 2.19.244, lanzada en septiembre. Por lo tanto, para protegerse contra cualquier vulnerabilidad que rodee esta vulnerabilidad, se recomienda actualizar la aplicación a la última versión desde Google Play Store lo antes posible.
Además de esto, dado que la falla reside en una biblioteca de código abierto, también es posible que cualquier otra aplicación de Android que use la misma biblioteca afectada también pueda ser vulnerable a ataques similares. El desarrollador de la biblioteca GIF afectada, llamada Android GIF Drawable, también ha lanzado la versión 1.2.18 del software para parchear la falla. Importante recalcar que WhatsApp para iOS no se ve afectado.
REFERENCIA
COMENTARIOS