No es común encontrar una vulnerabilidad que afecte a una aplicación de mensajería móvil, ya que su seguridad se analiza al milímetro por sus creadores. Pero aún menos común es que se descubra una vulnerabilidad que afectaba indistintamente a millones de usuarios de WhatsApp y de Telegram (dos de las aplicaciones de mensajería más populares del mundo, con 1.000 y 100 millones de usuarios activos mensuales, respectivamente), pudiendo ser explotada a través de una simple foto.

La vulnerabilidad afectaba a Telegram y a WhatsApp

Eso es lo que ha descubierto la empresa de seguridad Check Point Security. Esta vulnerabilidad, que podía ser explotada en WhatsApp y Telegram, se ejecutaba vía imágenes y vídeo a través del sistema que utilizan ambas aplicaciones para gestionar y mostrar el contenido multimedia.

En Check Point fueron capaces de replicar el proceso y crear una imagen que era aparentemente normal en la previsualización, pero que en realidad era un archivo cargado con código HTML, teniendo el mismo permiso que las aplicaciones web para ejecutarse libremente en el navegador. Una vez se cargaba el malware, el atacante podía tomar el control total de la cuenta del usuario y robarla, acceder al historial de mensajes y a todas las fotos y vídeo que el usuario tenía almacenadas en el móvil, así como mandar mensajes en su nombre.

Ambas compañías ya han parcheado la vulnerabilidad para sus dos aplicaciones web

En WhatsApp la vulnerabilidad era más fácil de explotar que en Telegram. Tan sólo tenía que enviarse la imagen maligna y que el usuario pulsara encima de ella para abrirla. En Telegram el usuario tenía que abrir un vídeo en una pestaña aparte de Chrome para que el malware se ejecutare, siendo esta una manera muy poco común de visualizar contenido en Telegram, por lo que el número de usuarios afectados de esta plataforma puede haber sido menor.

La vulnerabilidad fue reportada hace justo una semana, el pasado 8 de marzo, y ambas empresas ya han parcheado sus respectivas aplicaciones para proteger a los usuarios de ataques similares. Ambas vulnerabilidades sólo podían ser explotadas en las versiones web de WhatsApp y de Telegram, por lo que si usas las aplicaciones con los clientes de escritorio en el caso de Telegram o sólo en el móvil has estado a salvo de todo esto.

Al contrario que otras aplicaciones de mensajería o de correo electrónico, tanto WhatsApp como Telegram no pueden leer los mensajes que se envían entre sí los usuarios, ya que las conversaciones y archivos están cifrados de punto a punto. En este caso esto es un problema, ya que esto hace que el malware pueda ser transmitido con mayor facilidad al no tener un mecanismo para interceptar ni escanear virus ni contenido malicioso en lo que los usuarios envían en las plataformas. A partir de ahora, el contenido se validará antes del cifrado del mismo, bloqueando que escenarios como este se puedan volver a repetir.