ESET Latinoamérica comparte con nosotros una entrada de blog sobre la vulnerabilidad recientemente descubierta en WhatsApp para Web

 

(el post original está disponible acá

La última vesión de WhatsApp Web corrige una vulnerabilidad que permitía la ejecución arbitraria de código, de manera que los usuarios estaban expuestos a la infección de malware.

La falla fue descubierta por Kasif Dekel, un investigador de Check Point que encontró un problema en la forma que la plataforma filtraba las tarjetas de contactos llamadas vCards, y una falta de validación en lo que respecta a sus formatos o contenidos. Piensa en las veces que algún amigo te pasó el número de alguien que tenía agendado, simplemente compartiendo contigo un contacto de su agenda.

Algo similar es lo que explotaba esta vulnerabilidad. Al enviar una vCard maliciosa que aparentemente solo contiene la información de un contacto, el atacante podía engañar a la víctima para ejecutar código en su máquina. Una vez abierta, resulta ser un archivo ejecutable que compromete a la computadora que la recibió, distribuyendo bots, ransomware, RATs y otras amenazas.

Es decir, una vez que el receptos hiciera clic en la tarjeta, se descargaría y ejecutaría el código que esta contenía. Lo único que el atacante necesitaba era el número de teléfono asociado a la cuenta de su víctima para enviarle el contenido alterado e infectado – que incluso, para ser más creíble, podia llegar a mostrar un ícono o fotografía del supuesto contacto.

De esta forma, los aproximadamente 200 millones de usuarios de WhatsApp Web estuvieron expuestos a infecciones de malware en sus computadoras, que podían permitir a los cibercriminales el monitoreo de sus actividades, el uso de sus equipos para propagar más amenazas, y en última instancia la toma del control de la PC.

Esta no es la primera vez que se encuentran fallas en WhatsApp Web: a principios de este año, un joven de 17 años descubrió que, a pesar de que un usuario configurara su privacidad de forma tal que solo sus contactos pudieran ver su foto de perfil, en WhatsApp Web esto no se cumplía. Básicamente, cualquiera podía ver la foto de un usuario a pesar de que haya elegido ocultarla de desconocidos.

Afortunadamente, WhatsApp verificó y solucionó el problema en cuestión de días, por lo que se recomienda a todos los usuarios asegurarse de que están usando la última versión de la aplicación de mensajería para escritorio. De lo contrario, ¡actualiza cuanto antes tu WhatsApp Web!

Y por supuesto, aquí aplican las mismas buenas prácticas que para sitios web o aplicaciones que requieren información personal sensible.