El equipo de respuesta a emergencias informáticas de la India conocido como CERT-In encontró una vulnerabilidad en WhatsApp para Android y iOS con la que es posible robar información personal de los usuarios.
El organismo calificó como “gravedad alta” el descubrimiento, pues afecta tanto a usuarios de WhatsApp como de WhatsApp Business con las versiones v2.21.4.18 y anteriores para Android, y v2.21.32 y anteriores para iOS.
Robar información con un sticker
El CERT-In mencionó que la vulnerabilidad permite ejecutar código o acceder a información confidencial de los usuarios. Lo anterior es posible debido a un problema de configuración de caché y la falta de comprobación de límites que falta dentro de la canalización de decodificación de audio.
El origen de este problema se encontró en la herramienta de pantalla de bloqueo de WhatsApp, la cual puede ser utilizada para comunicarse con Siri en los teléfonos de Apple.
En Android se puede aprovechar una vulnerabilidad Use-After-Free, la cual está relacionada con el uso de memoria dinámica durante el funcionamiento de WhatsApp, y permite a un atacante enviar un sticker animado durante una videollamada para obtener el control del dispositivo de las víctimas.
Durante el 2019 el CERT-In también alertó de una vulnerabilidad grave en WhatsApp que permitió a los atacantes robar datos mediante el envío de un archivo MP4 que estaba diseñado para explotar una falla de desbordamiento de búfer.
La semana pasada se reportó otra falla grave de seguridad que permite a cualquier usuario bloquear la cuenta de WhatsApp de otra persona solo con conocer el número de teléfono. Esta falla no tiene como objetivo robar datos o infectar el teléfono de la víctima, pero puede dejarla más de un día sin servicio debido a la falta de protocolos de la empresa para validar información de los usuarios.
¿Cómo evitar ser una víctima?
El CERT-In menciona que ambas vulnerabilidades han sido solucionadas en las versiones posteriores a las afectadas, por lo que recomiendan mantener actualizada la aplicación a la versión más reciente publicada en la Play Store y App Store.