Los continuos incidentes recientes que rodean a uno de los líderes de mensajería a nivel mundial siguen presentes. El mes pasado informamos sobre otra vulnerabilidad (CVE-2019-11932) en WhatsApp que permitía a los ciberdelincuentes comprometer de forma remota dispositivos Android, con el fin de robar archivos y mensajes privados de conversaciones.
Esta reciente vulnerabilidad, rastreada como CVE-2019-11931, corresponde a un problema de desbordamiento de búfer que reside en la forma en que ciertas versiones de WhatsApp analiza la metadata de un archivo MP4, lo que permite realizar ataques de denegación de servicio (DoS) o ejecución remota de código (RCE).
Para explotar de forma remota la vulnerabilidad, todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 manipulado a través de WhatsApp, que eventualmente se puede programar para instalar un backdoor o una aplicación de spyware en los dispositivos comprometidos sin consentimiento del usuario.
La vulnerabilidad afecta tanto a los consumidores gratuitos como a las aplicaciones de WhatsApp para empresas, siendo vulnerable transversalmente en los sistemas operativos Android, iOS y Windows. Según un aviso publicado por Facebook, propietario de WhatsApp, la lista de versiones de aplicaciones vulnerables es la siguiente:
- Versiones de Android anteriores a 2.19.274
- Versiones de iOS anteriores a 2.19.100
- Enterprise Client versiones anteriores a 2.25.3
- Versiones de Windows Phone anteriores e incluidas 2.18.368
- Business para versiones de Android anteriores a 2.19.104
- Business para versiones de iOS anteriores a 2.19.100
El alcance, la gravedad y el impacto de esta falla recientemente parcheada, por el lanzamiento de la versión 2.19.244 de WhatsApp. parecen son similares a la vulnerabilidad de llamadas VoIP de WhatsApp, la cual fue explotada por la compañía israelí del NSO Group para instalar el Spyware Pegasus en casi 1400 dispositivos Android e iOS de todo el mundo.
No se tiene claro si esta nueva vulnerabilidad MP4 también fue explotada en la naturaleza antes de que Facebook se enterara y la corrigiera. Esta vulnerabilidad de WhatsApp se produjo solo dos semanas después de que Facebook demandó al Grupo NSO por mal uso del servicio de WhatsApp para apuntar a sus usuarios.
Por ahora, se recomienda que todos los usuarios se aseguren de ejecutar la última versión de WhatsApp en su dispositivo y deshabiliten las descargas automáticas de imágenes, archivos de audio y video desde la configuración de la aplicación.
REFERENCIA
COMENTARIOS