Fallo de seguridad permitía controlar WhatsApp con una videollamada

Según este fallo, un atacante podía comprometer toda la seguridad del cliente de mensajería instantánea por una vulnerabilidad en las videollamadas

Regeneración, 10 de octubre de 2018.– WhatsApp ha solucionado un fallo de seguridad que permitía a los atacantes tomar el control de la aplicación cuando los usuarios respondían una videollamada. La vulnerabilidad ha sido corregida esta semana, así que, si todavía no has actualizado la app, es recomendable que lo hagas cuanto antes.

Este problema de seguridad de WhatsApp fue descubierto a finales del pasado mes de agosto por Natalie Silvanovich, una investigadora del equipo Project Zero de Google. De acuerdo con su informe, se trataba de un error de corrupción de memoria en la implementación de videoconferencias no WebRTC de WhatsApp.

La vulnerabilidad afectaba exclusivamente a las aplicaciones de iOS y Android, ya que estos clientes son los únicos que utilizan el protocolo de transporte en tiempo real (RTP por sus siglas en inglés), que se emplea para la transmisión de información en tiempo real, como el audio o el vídeo en una videoconferencia.

“La corrupción puede ocurrir cuando la app móvil de WhatsApp recibe un paquete RTP con formato incorrecto”, explica la investigadora. Por tanto, el fallo de seguridad podía ser explotado cuando un usuario aceptaba una videollamada de un atacante, una acción extremadamente sencilla con consecuencias catastróficas, ya que podría comprometer completamente WhatsApp.

La plataforma ha corregido el problema de seguridad en una actualización para iOS y Android que ha sido liberada esta semana, de manera que, si aún no has actualizado la aplicación, lo mejor es que no esperes más y lo hagas cuanto antes.

Por el momento, la corporación no ha querido ofrecer más información relacionada con este fallo de seguridad, y se desconoce si la vulnerabilidad ha sido explotada en la naturaleza antes de ser solucionada.

Por otra parte, la semana pasada la agencia de inteligencia cibernética de Israel advirtió sobre una nueva técnica que permitía secuestrar las cuentas de WhatsApp a través de buzones de correo de voz mal protegidos, un sistema que sí han explotado los atacantes de manera masiva desde este otoño.

[Fuente: ZDNet]