• Inicio
  • Ayuda
  • TV
  • Buscar…

WhatsApp Web soluciona falla de seguridad que permitía acceder a archivos de la PC



febrero 5, 2020

Un investigador de ciberseguridad reveló detalles técnicos de múltiples vulnerabilidades de alta gravedad que descubrió en WhatsApp. Fallas que si se explotaban, podrían haber permitido a los atacantes remotos comprometer la seguridad de miles de millones de usuarios de diferentes maneras. Las diversas fallas podrían haber permitido a los piratas informáticos robar de forma remota los archivos de la computadora Windows o Mac de una víctima que usa la aplicación de escritorio WhatsApp simplemente enviando un mensaje especialmente diseñado.

WhatsApp Web soluciona falla de seguridad que permitía acceder a archivos de la PC
Imagen por Kinga vía Shutterstock

Descubierto por el investigador de PerimeterX Gal Weizman y rastreado como CVE-2019-18426. Los defectos residían específicamente en WhatsApp Web. Una versión de navegador de la aplicación de mensajería más popular del mundo que también alimenta sus aplicaciones multiplataforma basadas en Electron para sistemas operativos de escritorio. En una publicación de blog, Weizman reveló que WhatsApp Web era vulnerable a una falla de redirección abierta potencialmente peligrosa. Falla que conduce a ataques persistentes de secuencias de comandos entre sitios, a enviar un mensaje especialmente diseñado a los usuarios de WhatsApp específicos.

En el caso de que una víctima desprevenida vea el mensaje malicioso en el navegador, la falla podría haber permitido a los atacantes ejecutar código arbitrario en el contexto del dominio web de WhatsApp.

Mientras que, cuando se ve a través de la aplicación de escritorio vulnerable, el código malicioso se ejecuta en los sistemas de los destinatarios en el contexto de la aplicación vulnerable.

Además, la política de seguridad de contenido mal configurada en el dominio web de WhatsApp también permitió al investigador cargar cargas útiles de XSS de cualquier longitud utilizando un iframe de un sitio web controlado por el atacante en Internet.

El investigador dijo:

«Si las reglas de CSP estuvieran bien configuradas, la potencia obtenida por este XSS habría sido mucho menor. Ser capaz de eludir la configuración de CSP le permite a un atacante robar información valiosa de la víctima, cargar fácilmente cargas útiles externas y mucho más».

Además de esto, la falla de redireccionamiento abierto también podría haberse utilizado para manipular los banners de URL. Una vista previa del dominio que WhatsApp muestra a los destinatarios cuando reciben un mensaje que contiene enlaces, y engañar a los usuarios para que caigan en ataques de phishing.

Weizman informó de manera responsable estos problemas al equipo de seguridad de Facebook el año pasado, quien luego corrigió los defectos. Se lanzó una versión actualizada de su aplicación de escritorio. También recompensó a Weizman con $ 12,500 bajo el programa de recompensas por errores de la compañía.

Origen: Este error de WhatsApp podría haber permitido que los atacantes accedan a archivos en sus PC


[+] Videos de nuestro canal de YouTube
+, Alerta de seguridad, Apps, Fallas, MacOS, PC, Protección, Seguridad    WhatsApp, WhatsApp Web
← Liberan Android 10 para los Galaxy Note 9 desbloqueados en los EE. UU.
Nuevo móvil gaming POCO X2 con Snapdragon 730G y pantalla de 120Hz →

No se han encontrado comentarios

¿Y tú qué opinas? Cancelar respuesta











[+] Popular

Amazon android Android 10 apple asus CES CES 2018 coronavirus criptomoneda criptomonedas digitel Donald Trump ESET facebook filtraciones Filtración gmail google google play HP Huawei IA Instagram Intel ipad iphone Kaspersky Lab Lenovo LG Microsoft Motorola NASA Netflix nokia ransomware samsung Samsung Galaxy Skype sony twitter VPN WhatsApp Windows 10 Xiaomi youtube

[+] Para buscar

Síguenos

  • YouTube
  • Twitter
  • Facebook
  • Instagram
  • Feed RSS
  • Pinterest
  • LinkedIn

[+] Menú

  • Inicio
  • Apps
    • WhatsApp
    • Android
    • iOS
    • Windows
    • MacOS
  • Alerta
    • Seguridad
  • +Info
    • Nuevo
      • Smartphone
      • PC
      • TV
    • Favoritos
    • Ayuda
      • Test de velocidad GRATIS
    • Juegos
      • Móvil
      • Xbox
      • PS
      • Nintendo
    • Me gusta
      • Autos
      • Cine
      • Música
      • Turismo
    • Horarios
    • Video
      • AltaDensidad.TV
    • Prensa
    • Contacto
    • Publicidad
    • Grupo WhatsApp
    • Youtube
    • Twitter
    • Instagram
    • Facebook
    • RSS
    • Audio
      • Podcast
      • iVoox
      • Apple Podcasts
      • Spotify
    • Política de privacidad
  • e-Boletín: GRATIS
  • Buscar…

[+] Noticias Populares

  • Samsung Galaxy S21, S21 Plus y S21 Ultra: precios y ficha técnica
  • Xiaomi lanza la primera beta abierta de MIUI 12.5 con soporte para 28 dispositivos
  • “Suspensión de cuenta”: Alerta de phishing vía SMS a clientes BBVA España
  • Telegram: así funciona rival de WhatsApp que le quitó millones de usuarios
  • Signal fue descargada por 17,8 millones de usuarios durante los últimos siete días
  • Actualización para WhatsApp Web permite elegir stickers desde la PC y...
  • Vivo Y31s: primer teléfono inteligente del mundo con Snapdragon 480
  • Desire 21 Pro: primer celular 5G de HTC con pantalla de 90 Hz y 4 cámaras traseras
  • Ya puedes descargar la versión 8.1 de Google Camera en todos los celulares Android
  • Cómo vigilar el Instagram de alguien sin contraseña

[+] Recientes

  • Actualización para WhatsApp Web permite elegir stickers desde la PC y…
  • Microsoft aumenta límite para carga de archivos en OneDrive, Teams y SharePoint
  • Xiaomi lanza la primera beta abierta de MIUI 12.5 con soporte para 28 dispositivos
  • Xiaomi entra en la lista negra de empresas que no pueden recibir inversiones estadounidenses
  • “Suspensión de cuenta”: Alerta de phishing vía SMS a clientes BBVA España
  • Desire 21 Pro: primer celular 5G de HTC con pantalla de 90 Hz y 4 cámaras traseras
  • Signal fue descargada por 17,8 millones de usuarios durante los últimos siete días
  • Nuevos rastreadores Bluetooth de Samsung para encontrar objetos perdidos
  • Samsung Galaxy Buds Pro: nuevos auriculares con cancelación activa de ruido »inteligente»
  • Samsung Galaxy S21, S21 Plus y S21 Ultra: precios y ficha técnica
Privacidad y cookies: este sitio utiliza cookies. Al continuar utilizando esta web, aceptas su uso.
Para obtener más información, incluido cómo controlar las cookies, consulta aquí: Política de cookies
Alta Densidad® y Disco Duro® son producciones de Carlos José Monzón ©1999-2021

EvoLve theme by Theme4Press  •  Powered by WordPress Alta Densidad
Tecnología inteligente @discoduro