¡Actualiza ya! Error de WhatsApp, la plataforma de mensajería más popular del mundo podría estar nuevamente en aguas agitadas. The Hacker News se enteró de que el mes pasado WhatsApp parcheó silenciosamente otra vulnerabilidad crítica en su aplicación. El fallo podría haber permitido a los atacantes comprometer remotamente los dispositivos específicos y potencialmente robar mensajes de chat seguros y archivos almacenados en ellos.
Imagen por Antonio Guillem vía Shutterstock
La vulnerabilidad, rastreada como CVE-2019-11931, es un problema de desbordamiento de búfer. Está basado en la pila que residía en la forma en que las versiones anteriores de WhatsApp analizan los metadatos de flujo elemental de un archivo MP4, lo que resulta en ataques de denegación de servicio o ejecución remota de código. Para explotar de forma remota la vulnerabilidad, todo lo que necesita un atacante es el número de teléfono de los usuarios objetivo y enviarles un archivo MP4 creado de manera maliciosa a través de WhatsApp. Ese archivo, eventualmente se puede programar para instalar una puerta trasera maliciosa o una aplicación de spyware en los dispositivos comprometidos en silencio. La vulnerabilidad afecta tanto a los consumidores como a las aplicaciones empresariales de WhatsApp para todas las plataformas principales. Se incluye Google Android, Apple iOS y Microsoft Windows.
Lista de versiones de aplicaciones afectadas es la siguiente:
- Versiones de Android anteriores a 2.19.274
- Versiones de iOS anteriores a 2.19.100
- Enterprise Client versiones anteriores a 2.25.3
- Versiones de Windows Phone anteriores e incluidas 2.18.368
- Business para versiones de Android anteriores a 2.19.104
- Business para versiones de iOS anteriores a 2.19.100
El alcance, la gravedad y el impacto de la vulnerabilidad recientemente parcheada parecen similares a una vulnerabilidad reciente de llamadas VoIP de WhatsApp que fue explotada por la compañía israelí NSO Group para instalar el spyware Pegasus en casi 1400 dispositivos Android e iOS dirigidos en todo el mundo.
Al momento de escribir este artículo, no está claro si la vulnerabilidad MP4 también fue explotada como un día cero en la naturaleza antes de que Facebook se enterara y la reparara.
Por ahora, se recomienda que todos los usuarios se aseguren de ejecutar la última versión de WhatsApp en su dispositivo y deshabiliten las descargas automáticas de imágenes, archivos de audio y video desde la configuración de la aplicación.
Sigue leyendo: New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices
