Informática,Software

Un fallo del WhatsApp de escritorio permitió hackear computadoras con un simple mensaje

Anuncios

Facebook ha emitido un aviso de seguridad por un bug en el WhatsApp de escritorio que permitía a un tercero usar ataques de secuencias de comandos y acceder a los archivos en computadoras MacOS o Windows simplemente mediante un mensaje de texto especialmente diseñado.

El fallo del WhatsApp de escritorio fue descubierto por investigadores de PerimeterX, afectaba a las versiones anteriores a la v0.3.9309 y es el resultado de una debilidad en cómo se implementó la aplicación de mensajería usando el framework de código abierto Electron.

Electron permite a los desarrolladores crear aplicaciones multiplataforma basadas en tecnologías web y de navegador, pero su seguridad depende de los componentes que los desarrolladores implementan con las aplicaciones. En este caso se usó Chrome 69, una versión vulnerable y obsoleta. Las versiones más recientes del motor Chromium ya son capaces de detectar el código malicioso.

Los investigadores de PerimeterX encontraron por primera vez en 2017 vulnerabilidades de secuencias de comandos en el WhatsApp de escritorio, cuando descubrieron que podían alterar los metadatos de los mensajes, crear banners de vista previa falsos para enlaces web y crear URL que pudieran ocultar intenciones hostiles dentro de los mensajes de la aplicación.

A medida que continuaron investigando, descubrieron que podían inyectar código JavaScript en los mensajes que se ejecutaban en el WhatsApp de escritorio para obtener acceso al sistema de archivos locales utilizando la API JavaScript Fetch. «Estamos en 2020. Ninguna aplicación debería permitir una lectura completa del sistema de archivos y potencialmente una ejecución remota de código desde un solo mensaje»explican.

Las versiones de escritorio o web de estas apps móviles «no están tan bien auditadas o bien escritas y, por lo tanto, a menudo están abiertas a ataques», describen. Y la vulnerabilidad era sencilla de explotar, porque únicamente requería que la víctima hiciera clic en la vista previa de un enlace de un mensaje de texto diseñado al efecto. Desde ahí lograba acceso a los archivos de ordenadores Windows y macOS.

El problema afecta al WhatsApp de escritorio versión 0.3.9309 y anteriores, así como a los usuarios que emparejaron la aplicación con las ediciones de iOS de WhatsApp anteriores a las versiones 2.20.10. Se recomienda a los usuarios el uso de versiones más nuevas que no se ven afectadas por el bug.

0 0 vote
Article Rating
¿Te ha gustado? ¡Comparte!

También puede gustarte...

Suscribirse
Notificaciones de
guest
0 Comments
Inline Feedbacks
View all comments