Vulnerabilidad de tipo RCE en WhatsApp permite hackear teléfonos con solo un GIF


WhatsApp ha parcheado recientemente una vulnerabilidad crítica de seguridad para su versión de Android, la cual estuvo sin parchear por lo menos durante 3 meses después de ser descubierta, esta falla al ser explotada podría permitir que los ciberdelincuentes comprometan de forma remota dispositivos Android, con el fin de robar archivos y mensajes privados de conversaciones.

La vulnerabilidad rastreada como CVE-2019-11932, está asociada a un problema de corrupción de memoria (double-free), la cual no reside en el código fuente de WhatsApp como tal, sino en una biblioteca de análisis de imágenes .GIF de código abierto que utiliza WhatsApp en su versión de Android.

Descubierta por un investigador de seguridad en mayo de este año, la falla conduce con éxito a ataques de ejecución remota de código (RCE), lo que permite a los atacantes ejecutar código malicioso en dispositivos objetivos con WhatsApp junto a los permisos que la aplicación tenga en el dispositivo.

¿Cómo funciona esta vulnerabilidad? WhatsApp utiliza la biblioteca de análisis en cuestión para generar una vista previa de los archivos GIF cuando los usuarios abren la galería de su dispositivo antes de enviar cualquier archivo multimedia a sus contactos. Por lo tanto, hay que tener en cuenta que la vulnerabilidad no se activa al enviar un archivo GIF malicioso hacía la víctima; en su lugar, se ejecuta cuando la propia víctima simplemente abre el Selector de Galería de WhatsApp mientras intenta enviar cualquier archivo multimedia a algún destinatario.

Para explotar este problema, todo lo que un atacante debe hacer es enviar un archivo GIF malicioso manipulado hacia un usuario Android objetivo a través de cualquier canal de comunicación en línea y esperar a que el usuario simplemente abra la galería de imágenes en WhatsApp. Sin embargo, si los atacantes desean enviar el archivo GIF a las víctimas a través de cualquier plataforma de mensajería como WhatsApp o Messenger, deben enviarlo como un archivo de documento en lugar de un archivo adjunto multimedia, porque la compresión de imágenes utilizada por estos servicios distorsiona la carga maliciosa oculta en las imágenes.

La vulnerabilidad fue informada a Facebook, propietario de WhatsApp, a fines de julio de este año, la compañía incluyó un parche de seguridad en WhatsApp en su versión 2.19.244, lanzada en septiembre. Por lo tanto, para protegerse contra cualquier vulnerabilidad que rodee esta vulnerabilidad, se recomienda actualizar la aplicación a la última versión desde Google Play Store lo antes posible.

Además de esto, dado que la falla reside en una biblioteca de código abierto, también es posible que cualquier otra aplicación de Android que use la misma biblioteca afectada también pueda ser vulnerable a ataques similares. El desarrollador de la biblioteca GIF afectada, llamada Android GIF Drawable, también ha lanzado la versión 1.2.18 del software para parchear la falla. Importante recalcar que WhatsApp para iOS no se ve afectado.



REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,24,Antivirus,3,Apple,13,Apps,10,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,104,ciberseguridad,69,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,1,Empresas,108,Eventos,4,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,24,Hacking,78,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,32,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,14,Redes,27,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,27,Software,23,Spyware,10,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Vulnerabilidad de tipo RCE en WhatsApp permite hackear teléfonos con solo un GIF
Vulnerabilidad de tipo RCE en WhatsApp permite hackear teléfonos con solo un GIF
https://1.bp.blogspot.com/-eqs4n3ZBHh4/XZYIC5TJ1WI/AAAAAAAABs8/LKwBB63KnKMC8lmkJucaXgjDyzU_Uh1rQCLcBGAsYHQ/s640/WhatsApp%2BRCE.jpg
https://1.bp.blogspot.com/-eqs4n3ZBHh4/XZYIC5TJ1WI/AAAAAAAABs8/LKwBB63KnKMC8lmkJucaXgjDyzU_Uh1rQCLcBGAsYHQ/s72-c/WhatsApp%2BRCE.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/10/nueva-vulnerabilidad-rce-en-whatsapp.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/10/nueva-vulnerabilidad-rce-en-whatsapp.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy