WhatsApp ha actualizado el cliente web de su popular aplicación de mensajería debido a una grave vulnerabilidad que podría permitir a atacantes remotos la instalación de cualquier tipo de malware o archivo malicioso.
El problema, descubierto porCheck Point, podría permitir a un atacante ejecutar código arbitrario en el sistema de la víctima. Para aprovechar la vulnerabilidad, el atacante tan solo debe enviar, a través del cliente web de WhatsApp, una vCard aparentemente inocente pero con el código malicioso incluido. Una vez que el usuario abre el archivo, se revela como un ejecutable que puede permitir el compromiso total del sistema. Lo único que necesita conocer el atacante es el número de teléfono asociado a la cuenta.
El cliente web de WhatsApp permite usar WhatsApp en un ordenador, replicando el contenido de la conversación establecida en el smartphone en el navegador. Se estima que más de 200 millones de usuarios hacen uso de esta aplicación.
El 21 de agosto de 2015 Check Point comunicó el problema a WhatsApp, que comprobó y reconoció la vulnerabilidad. Pocos días después (el 27 de agosto) implementó la solución en su cliente web (en todas las versiones superiores a 0.1.4481).
WhatsApp Web permite visualizar cualquier tipo de archivo multimedia que pueda enviarse a través de la aplicación móvil. Esto incluye imágenes, vídeos, archivos de audio o tarjetas vCard.
La vulnerabilidad reside en un tratamiento inadecuado de las tarjetas vCard, utilizadas habitualmente para compartir la información de un contacto. En cualquier caso la tarjeta recibida parece totalmente normal, como cualquier otra tarjeta de contacto, sin embargo una vez que el usuario descargue el archivo el código malicioso se ejecutará en el sistema de la víctima.
El informe de Check Point, altamente instructivo, primero muestra como interceptando y manipulando peticiones XMPP (Extensible Messaging and Presence Protocol) a los servidores WhatsApp, era posible controlar la extensión de la tarjeta de contacto. En primer lugar consiguió cambiar la extensión a .bat. Para ejecutar código malicioso el atacante simplemente debía inyectar un comando en el atributo «nombre» de la vCard, separado por el carácter «&». Al abrirlo, Windows ejecutaba todas las líneas del archivo, incluyendo los comandos inyectados.
Pero aun consiguieron llevar su investigación más lejos, examinaron los protocolos empleados por WhatsApp y comprobaron que usa una versión adaptada del estándar XMPP. Tal y como describen se sorprendieron al descubrir que WhatsApp fallaba al realizar cualquier tipo de validación sobre el formato de la vCard o los contenidos del archivo. Lo que les permitió incluir un archivo .exe en la petición.
«We were surprised to find that WhatsApp fails to perform any validation on the vCard format or the contents of the file, and indeed when we crafted an exe file into this request, the WhatsApp web client happily let us download the PE file in all its glory.«
Más información:
WhatsApp “MaliciousCard” Vulnerabilities Allowed Attackers to Compromise Hundreds of Millions of WhatsApp Users
Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies
Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web.De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web.También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web.Estas cookies se almacenarán en su navegador solo con su consentimiento.También tiene la opción de optar por no recibir estas cookies.Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional
11 months
La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary
11 months
Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others
11 months
Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance
11 months
Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy
11 months
La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
