WhatsApp alerta sobre un fallo de seguridad

19/11/2019

La empresa hija de Facebook ha localizado un nuevo fallo de seguridad que supone una «vulnerabilidad crítica» tanto para los dispositivos Android como iOS, ya que permite a los hackers acceder a información personal de los usuarios a través del envío de un vídeo malicioso.

Facebook ha remarcado que el fallo ha sido localizado en las versiones antiguas de la aplicación de mensajería, y que puede ser utilizada por los ciberdelincuentes para lanzar ataques DoS (denegación del servicio) o RCE (ejecución remota del código).

El desencadenante podría ser el envío de un archivo MP4 malicioso a un usuario de WhatsApp a través de la misma aplicación. Si se abre, el ciberdelincuente aprovecha lo que se conoce como el desbordamiento de la pila de búfer para lanzar los ataques y robar la información almacenada.

El ataque DoS se basa en la sobrecarga de los sistemas de las víctimas para que el dispositivo o la red deje de estar disponible y pueda acceder así al robo de su información personal. Por su parte, el RCE es un ataque informático que consiste en hacer que el dispositivo de la víctima pueda ejecutar el código de manera remota, mientras él se encarga de desarrollar su propia programación para conseguir un completo acceso al dispositivo.

Actualización

La problemática viene aparejada a un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian y se almacenan en la memoria. Si la cantidad de datos supera su capacidad, los ‘bytes’ sobrantes se guardan en zonas de memoria adyacentes, sobreescribiendo su contenido original. Esto da lugar a una vulnerabilidad que puede ser explotada por un hacker para hacer un uso malintencionado.

De acuerdo con el comunicado emitido por Facebook, esta vulnerabilidad ha afectado tanto a dispositivos iOS como Android en versiones antiguas de WhatsApp. El error fue parcheado con la actualización del pasado 3 de octubre, pero sigue afectando a los dispositivos con software desactualizado.

En concreto, están afectadas las versiones de Android anteriores a 2.19.274, las de iOS previas a 2.19.100, versiones de Enterprise Client anteriores a 2.25.3, las de Windows Phone anteriores e incluyendo 2.18.368, las de Business para Android previas a 2.19.104, y las de Business para iOS anteriores a 2.19.100.