Una vulnerabilidad de WhatsApp podría comprometer dispositivos Android

Un investigador ha publicado detalles de una vulnerabilidad de ejecución remota de código (RCE) de WhatsApp que, según afirma, podría usarse para comprometer no solo la aplicación sino también el dispositivo móvil en el que se ejecuta la aplicación.

Reportado a Facebook hace unas semanas por un investigador llamado “Awakened”, el problema crítico (CVE-2019-11932) afecta a los usuarios de las versiones de Android de la aplicación, específicamente las versiones 8.1 y 9.0, aunque no, aparentemente, la versión 8.0 (iOS de Apple no parece estar afectado).

Se describe como una vulnerabilidad de memoria doblemente libre en una biblioteca de vista previa de imágenes de WhatsApp, llamada libpl_droidsonroids_gif.so, y algunos aspectos de cómo podría ejecutarse siguen sin estar claros.

El investigador dice que un ataque implicaría primero enviar una imagen GIF maliciosa utilizando cualquier canal, es decir, por correo electrónico, una aplicación de mensajería rival, o directamente a través de WhatsApp.

Si se está utilizando WhatsApp y el atacante (o intermediario desafortunado) está en la lista de contactos del usuario como amigo, aparentemente este GIF se descargará automáticamente en el dispositivo.

La ejecución ocurriría cuando el destinatario abra posteriormente la Galería de WhatsApp incluso si no se selecciona o envía ningún archivo. Según Awakened:

Dado que WhatsApp muestra vistas previas de cada medio (incluido el archivo GIF recibido), activará el error doblemente libre y nuestro exploit RCE.

Para respaldar esto, Awakened ha publicado un video en el que muestra la secuencia de eventos que se ejecutan en WhatsApp v2.19.203.

Esto muestra el exploit que le da a un atacante un shell inverso completo con acceso root y completo a todos los archivos en ese dispositivo, su tarjeta SD y lo que parece ser la base de datos de mensajes de WhatsApp.

A medida que avanzan las vulnerabilidades móviles, esta se parece a las llaves del castillo. El informe de TNW cita a alguien de Facebook:

Fue reportado y abordado rápidamente el mes pasado. No tenemos ninguna razón para creer que esto haya afectado a ningún usuario, aunque, por supuesto, siempre estamos trabajando para proporcionar las últimas funciones de seguridad a nuestros usuarios.

La empresa también ha afirmado que la explotación requiere que el usuario haya enviado un GIF malicioso, punto con el que no está de acuerdo Awakened. Habiendo estudiado la prueba de concepto del video, parece más probable que Awakened tenga la razón.

¿Debemos preocuparnos?

Suponiendo que los usuarios que ejecutan versiones de Android afectadas se hayan actualizado recientemente, esto debería suceder automáticamente a través de Play Store, la respuesta es no.

La versión de WhatsApp que solucionó el error es la 2.19.244, que apareció a principios de septiembre.

Más preocupante es que tal cosa sea posible. Las vulnerabilidades de la aplicación que dan a los atacantes el control sobre un dispositivo móvil no son exactamente muy habituales, incluso si WhatsApp ha sufrido esta extraña vulnerabilidad de seguridad en los últimos tiempos.

Estos incluyen un informe de mayo sobre una vulnerabilidad de día cero que un “actor cibernético avanzado” había estado explotando para espiar a un grupo selecto de usuarios de WhatsApp.

Un ejemplo aún mejor podría ser una vulnerabilidad descubierta en octubre de 2018 por Google que podría haber sido utilizada para comprometer el dispositivo Android o iPhone de un usuario simplemente al hacer que responda una llamada.

Muchos de los 1.500 millones de usuarios de WhatsApp eligen ese software debido a su privacidad y seguridad. Estos defectos recuerdan que la lista de funciones no incluye invulnerabilidad.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: