Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada
Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp
La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un 'memory heap overflow' que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.
La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.
Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.
WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.
La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un 'memory heap overflow' que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.
La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.
Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.
WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.
Más información:
Reporte del fallo:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1654
Twitter Natalie Silvanovich:
https://twitter.com/natashenka/status/1049733016531001344
Hacker-News:
https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html?m=1
Twitter Natalie Silvanovich:
https://twitter.com/natashenka/status/1049733016531001344
Hacker-News:
https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html?m=1
Via: unaaldia.hispasec.com
Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada
Reviewed by Anónimo
on
11:29
Rating: