Facebook ha descubierto
una vulnerabilidad crítica en WhatsApp que afecta tanto a dispositivos Android
como iOS y que permite que los hackers puedan robar información personal de los
usuarios almacenada en la 'app' a través del envío a los mismos de un vídeo en
formato MP4 malicioso.
La empresa propietaria
de WhatsApp, Facebook, ha anunciado que existe en versiones antiguas de
WhatsApp una vulnerabilidad en la aplicación de mensajería que puede ser
utilizada por los ciberdelincuentes para lanzar ataques DoS (denegación del
servicio) o RCE (ejecución remota del código).
"Un desbordamiento
de búfer ('stack-based buffer overflow') podría desencadenarse en WhatsApp
enviando un archivo especialmente elaborado a un usuario de WhatsApp. Este
asunto estuvo presente en el análisis de los metadatos elementales de un
archivo MP4 y puede resultar en un ataque DoS o RCE", ha explicado
Facebook.
El ataque DoS se basa en
la sobrecarga de los sistemas de las víctimas para que el dispositivo o la red
de las mismas deje de estar disponible y pueda acceder así al robo de su
información personal. Por su parte, el RCE es un ataque informático que
consiste en que el hacker puede hacer que el dispositivo de la víctima pueda
ejecutar el código de manera remota, mientras él se encarga de desarrollar su
propia programación para conseguir tener un completo acceso al dispositivo de
la víctima.
En este caso, para
acceder a los datos de las víctimas, el hacker tiene que enviar un archivo MP4
a las mismas a través de la aplicación. Si estas lo abren, el ciberdelincuente
aprovecha la vulnerabilidad de la aplicación denominada de desbordamiento de la
pila de 'búfer' para lanzar los ataque DoS o REC y robar la información almacenada
en la 'app'.
Esta vulnerabilidad se
trata de un error de 'software' que se produce cuando un programa no controla
adecuadamente la cantidad de datos que se copian y almacenan en una memoria
diseñada para ello.
Si la cantidad de datos
destinada a almacenar en la misma supera la capacidad que esta tiene, los
'bytes' sobrantes se guardan en zonas de memoria adyacentes sobreescribiendo su
contenido original que suele pertenecer a datos o códigos almacenados en
memoria. Esto da lugar a una vulnerabilidad que puede ser explotada por un
'hacker' para hacer un uso malintencionado de la misma.
De acuerdo con el
comunicado emitido por Facebook, esta vulnerabilidad ha afectado tanto a
dispositivos iOS como Android en versiones antiguas de WhatsApp. El error fue
parcheado con la actualización del pasado 3 de octubre, pero sigue afectando a
los dispositivos con 'software' desactualizado.
En concreto, están afectadas las versiones de Android anteriores a 2.19.274, las de iOS previas a 2.19.100, versiones de Enterprise Client anteriores a 2.25.3, las de Windows Phone anteriores e incluyendo 2.18.368, las de Business para Android previas a 2.19.104, y las de Business para iOS anteriores a 2.19.100.