Cuatro fallas en WhatsApp Web pusieron en riesgo los celulares de los usuarios

El problema de seguridad permitía acceder al teléfono de la víctima mediante un mensaje malicioso.

Cuatro fallos de seguridad críticos en la versión para computadoras de la aplicación de mensajería WhatsApp expusieron los dispositivos de los usuarios, a los que un atacante podía acceder a través del envío de un mensaje malicioso.

Las vulnerabilidades, que fueron descubiertas por los investigadores de la compañía de ciberseguridad Perimeter X, se basan en el “cross-site scripting”, un agujero de seguridad que permite a un tercero inyectar código Javascript o similar en una aplicación web.

En WhatsApp, cuando el usuario envía un mensaje que contiene un enlace, la aplicación añade una previsualización con información adicional, como el nombre de la página y su descripción, para que el receptor sepa dónde está haciendo click. No obstante, estos datos provienen del emisor del mensaje y pueden alterarse de forma malintencionada.

Aprovechándose de esto, un atacante podría utilizar un mensaje malicioso modificado pero con apariencia de legítimo, cambiar la URL del enlace e introducir código malicioso Java escondido a través del “cross-site scripting”.

Mediante esta técnica, el atacante puede hacerse con acceso a los archivos del sistema de WhatsApp y ejecutar código de forma arbitraria en el dispositivo a través de la aplicación del usuario que reciba el chat malicioso.

Este fallo está presente solo en algunos navegadores como en Safari y en versiones antiguas de Edge, pero no en otros basados en Chromium, según la investigación, y se debe al uso en WhatsApp de la herramienta de desarrollo de aplicaciones Electron, basada en versiones antiguas de Chromium aún afectadas por el problema.

Tras descubrir estas vulnerabilidades, los investigadores de Perimeter X le informaron a Facebook, compañía propietaria de WhatsApp desde 2014, y estos fallos fueron solucionados a través de un parche de seguridad en WhatsApp Web para PC y Mac distribuido el pasado 21 de enero.

Fuente: tn.com.ar

Se deja expresamente aclarado que los comentarios realizados en los espacios de participación del Sitio son de exclusiva responsabilidad de sus autores, pudiendo estos ser pasibles de sanciones legales. Los comentarios que fueran violatorios de los Términos y Condiciones de Uso del Sitio y/o del ordenamiento legal vigente podrán ser eliminados e incluso podrá inhabilitarse a los Usuarios en cuestión para volver a comentar. Utilizar los espacios de participación implica la aceptación de los Términos y Condiciones de Uso del Sitio.

Más información en canalsiete.com.ar:

Cómo funciona el nuevo celular que bloquea la cámara si detecta desnudos

El dispositivo, lanzado por una compañía japonesa, busca evitar el sexting y los riesgos asociados a esa práctica. El próximo smartphone pensado para [...]

Modo oscuro en WhatsApp: cómo activar la nueva función del mensajero

La opción estaba disponible en la versión de prueba de la app, pero ahora está llegando a todos los teléfonos Android. El modo [...]

El teclado de Google para Android ahora permite combinar emojis para crear nuevos diseños

La función permite combinar dos emoticones en uno, como un fantasma vaquero o un mono con anteojos. Hay muchísimos emojis. Y ahora que [...]