![](\"https:\/\/sophos.files.wordpress.com\/2019\/10\/shutterstock_1383449651-compressor.jpg\"\/)
<\/p>\nUn investigador ha publicado detalles de una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) de WhatsApp que, seg\u00fan afirma, podr\u00eda usarse para comprometer no solo la aplicaci\u00f3n sino tambi\u00e9n el dispositivo m\u00f3vil en el que se ejecuta la aplicaci\u00f3n.<\/p>\n
Reportado a Facebook hace unas semanas por un investigador llamado \u201cAwakened\u201d, el problema cr\u00edtico (CVE-2019-11932<\/a>) afecta a los usuarios de las versiones de Android de la aplicaci\u00f3n, espec\u00edficamente las versiones 8.1 y 9.0, aunque no, aparentemente, la versi\u00f3n 8.0 (iOS de Apple no parece estar afectado).<\/p>\n Se describe como una vulnerabilidad de memoria doblemente libre en una biblioteca de vista previa de im\u00e1genes de WhatsApp, llamada libpl_droidsonroids_gif.so, y algunos aspectos de c\u00f3mo podr\u00eda ejecutarse siguen sin estar claros.<\/p>\n El investigador dice<\/a> que un ataque implicar\u00eda primero enviar una imagen GIF maliciosa utilizando cualquier canal, es decir, por correo electr\u00f3nico, una aplicaci\u00f3n de mensajer\u00eda rival, o directamente a trav\u00e9s de WhatsApp.<\/p>\n Si se est\u00e1 utilizando WhatsApp y el atacante (o intermediario desafortunado) est\u00e1 en la lista de contactos del usuario como amigo, aparentemente este GIF se descargar\u00e1 autom\u00e1ticamente en el dispositivo.<\/p>\n La ejecuci\u00f3n ocurrir\u00eda cuando el destinatario abra posteriormente la Galer\u00eda de WhatsApp incluso si no se selecciona o env\u00eda ning\u00fan archivo. Seg\u00fan Awakened:<\/p>\n Dado que WhatsApp muestra vistas previas de cada medio (incluido el archivo GIF recibido), activar\u00e1 el error doblemente libre y nuestro exploit RCE.<\/em><\/p>\n Para respaldar esto, Awakened ha publicado un video<\/a> en el que muestra la secuencia de eventos que se ejecutan en WhatsApp v2.19.203.<\/p>\n Esto muestra el exploit que le da a un atacante un shell inverso completo con acceso root y completo a todos los archivos en ese dispositivo, su tarjeta SD y lo que parece ser la base de datos de mensajes de WhatsApp.<\/p>\n A medida que avanzan las vulnerabilidades m\u00f3viles, esta se parece a las llaves del castillo. El informe de TNW<\/a> cita a alguien de Facebook:<\/p>\n Fue reportado y abordado r\u00e1pidamente el mes pasado. No tenemos ninguna raz\u00f3n para creer que esto haya afectado a ning\u00fan usuario, aunque, por supuesto, siempre estamos trabajando para proporcionar las \u00faltimas funciones de seguridad a nuestros usuarios.<\/em><\/p>\n La empresa tambi\u00e9n ha afirmado que la explotaci\u00f3n requiere que el usuario haya enviado un GIF malicioso, punto con el que no est\u00e1 de acuerdo Awakened. Habiendo estudiado la prueba de concepto del video, parece m\u00e1s probable que Awakened tenga la raz\u00f3n.<\/p>\n Suponiendo que los usuarios que ejecutan versiones de Android afectadas se hayan actualizado recientemente, esto deber\u00eda suceder autom\u00e1ticamente a trav\u00e9s de Play Store, la respuesta es no.<\/p>\n La versi\u00f3n de WhatsApp que solucion\u00f3 el error es la 2.19.244, que apareci\u00f3 a principios de septiembre.<\/p>\n M\u00e1s preocupante es que tal cosa sea posible. Las vulnerabilidades de la aplicaci\u00f3n que dan a los atacantes el control sobre un dispositivo m\u00f3vil no son exactamente muy habituales, incluso si WhatsApp ha sufrido esta extra\u00f1a vulnerabilidad de seguridad en los \u00faltimos tiempos.<\/p>\n Estos incluyen un informe de mayo sobre una vulnerabilidad de d\u00eda cero<\/a> que un “actor cibern\u00e9tico avanzado” hab\u00eda estado explotando para espiar a un grupo selecto de usuarios de WhatsApp.<\/p>\n Un ejemplo a\u00fan mejor podr\u00eda ser una vulnerabilidad descubierta en octubre de 2018<\/a> por Google que podr\u00eda haber sido utilizada para comprometer el dispositivo Android o iPhone de un usuario simplemente al hacer que responda una llamada.<\/p>\n Muchos de los 1.500 millones de usuarios de WhatsApp eligen ese software debido a su privacidad y seguridad. Estos defectos recuerdan que la lista de funciones no incluye invulnerabilidad.<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t\u00bfDebemos preocuparnos?<\/h2>\n