Los investigadores detallan la vulnerabilidad de WhatsApp ahora parcheada
En una publicación reciente realizada por los investigadores de seguridad que trabajan con Check Point, un equipo reveló una antigua vulnerabilidad en una versión ahora desactualizada de WhatsApp que podría haber llevado a una posible exposición de la información personal de los usuarios de WhatsApp.
El error en cuestión involucra una cadena de eventos bastante larga y complicada que debe tener lugar antes de que los datos del usuario se vuelvan explotables, pero aún así se le otorgó una calificación de 7.8, que se considera 'alta' según el CVE o Vulnerabilidades comunes y Sistema de exploits.
Para que un mal actor pueda abusar de la vulnerabilidad en cuestión, necesitaría enviar un archivo de imagen construido de forma maliciosa y manipulado específicamente. Luego, la víctima deberá ejecutar el archivo adjunto recibido a través de uno de los filtros de manipulación de imágenes de WhatsApp. Una vez que intentan devolver el archivo resultante, la aplicación podría bloquearse y provocar la exposición de los datos.
La vulnerabilidad se explica con gran detalle técnico en el informe de Check Point, pero básicamente se reduce a que WhatsApp no verifica la imagen de origen y de destino. En los casos en que se utilice una imagen de origen manipulada de forma malintencionada, esto podría provocar problemas de lectura y escritura fuera de los límites.
WhatsApp tiene la base de usuarios más grande entre las aplicaciones de mensajería, con alrededor de 2 mil millones de usuarios activos mensuales. Incluso considerando la compleja y relativamente larga cadena de eventos y condiciones que deben cumplirse para que el exploit active y exponga los datos del usuario, vulnerabilidades similares son siempre un problema.
Después de que Check Point notificara a WhatsApp sobre el problema a fines de 2020, el error se corrigió y se eliminó de la aplicación a partir de la versión 2.21.1.13.
Los informes similares también ayudan a crear conciencia sobre la importancia de actualizar cada aplicación en cada dispositivo que tenga lo antes posible después de un nuevo parche.