Site icon Sophos News

Todo lo que debes saber sobre el “exploit día cero” de WhatsApp

message whatsapp

Desde hace uno o dos días, nuestro feed de noticias ha estado lleno de advertencias sobre WhatsApp.

Vimos muchos informes que enlazaban  dos tweets en los que se afirmaba la existencia de dos agujeros de seguridad de día cero en WhatsApp, con los identificadores CVE-2022-36934 y CVE-2022-27492.

Un artículo, aparentemente basado en esos tweets, insistía en que no sólo se trataba de fallos de día cero, sino también en que habían sido descubiertos internamente y corregidos por el propio equipo de WhatsApp.

Sin embargo, por definición, un día cero se refiere a un fallo que los atacantes descubrieron y averiguaron cómo explotar antes de que hubiera un parche disponible, de modo que hubo cero días en los que incluso el administrador de sistemas más proactivo y con la actitud más progresista respecto a los parches podría haberse adelantado.

En otras palabras, la idea de afirmar que un fallo es un día cero es persuadir a la gente  que el parche es al menos tan importante como siempre, y quizás más que eso, porque instalar el parche es más una cuestión de ponerse al día con los delincuentes que de mantenerse delante de ellos.

Si los desarrolladores descubren un fallo y lo parchean por su cuenta en su próxima actualización, no se trata de un día cero, porque los buenos llegaron antes.

Del mismo modo, si los investigadores de seguridad siguen el principio de divulgación responsable, en el que revelan los detalles de un nuevo fallo a un proveedor, pero se comprometen a no publicar esos detalles durante un período de tiempo acordado para dar tiempo al proveedor a crear un parche, no se trata de un día cero.

Establecer un plazo de divulgación responsable para la publicación de un informe sobre el fallo sirve para dos propósitos, a saber, que el investigador pueda en última instancia atribuirse el mérito del trabajo, mientras que se evita que el proveedor pueda esconder el problema bajo la alfombra, sabiendo que al final saldrá a la luz.

Entonces, ¿cuál es la verdad?

¿Está WhatsApp actualmente bajo el ataque activo de los ciberdelincuentes? ¿Es un peligro claro y real?

¿Hasta qué punto deberían estar preocupados los usuarios de WhatsApp?

En caso de duda, consulta el aviso

Por lo que podemos ver, los informes que circulan en este momento se basan en la información de la propia página de avisos de seguridad de WhatsApp para 2022, que dice [2022-09-27T16:17:00Z]:

Avisos de seguridad de WhatsApp

Actualizaciones 2022

Actualización de septiembre

CVE-2022-36934

Un desbordamiento de enteros en WhatsApp para Android anterior a la v2.22.16.12, Business para Android anterior a la v2.22.16.12, iOS anterior a la v2.22.16.12, Business para iOS anterior a la v2.22.16.12 podría dar lugar a la ejecución remota de código en una videollamada establecida.

CVE-2022-27492

Un desbordamiento de enteros en WhatsApp para Android anterior a la v2.22.16.2, WhatsApp para iOS v2.22.15.9 podría provocar la ejecución remota de código al recibir un archivo de vídeo malicioso.

Ambos errores están catalogados como potencialmente causantes de ejecución remota de código, o RCE por sus siglas en inglés, lo que significa que los datos con trampa podrían forzar la caída de la aplicación, y que un atacante hábil podría ser capaz de manipular las circunstancias de la caída para desencadenar un comportamiento no autorizado en el camino.

Normalmente, cuando se trata de un RCE, ese “comportamiento no autorizado” significa ejecutar código malicioso, o malware, para subvertir y tomar alguna forma de control remoto sobre el dispositivo.

Por las descripciones, suponemos que el primer fallo requería una llamada conectada antes de poder activarse, mientras que el segundo fallo suena como si pudiera activarse en otros momentos, por ejemplo mientras se lee un mensaje o se ve un archivo ya descargado en el dispositivo.

Las aplicaciones móviles suelen estar reguladas de forma mucho más estricta por el sistema operativo que las aplicaciones de los ordenadores o los servidores, en los que los archivos locales suelen ser accesibles y se comparten entre varios programas.

Esto, a su vez, significa que el compromiso de una sola aplicación móvil generalmente plantea menos riesgo que un ataque de malware similar en un ordenador.

En tu portátil, por ejemplo, tu reproductor de podcasts probablemente puede echar un vistazo a tus documentos por defecto, incluso si ninguno de ellos es un archivo de audio, y tu programa de fotos probablemente puede husmear en tu carpeta de hojas de cálculo (y viceversa).

Sin embargo, en tu dispositivo móvil, suele haber una separación mucho más estricta entre las aplicaciones, de modo que, al menos por defecto, tu reproductor de podcast no puede ver los documentos, tu programa de hoja de cálculo no puede navegar por tus fotos y tu aplicación de fotos no puede ver los archivos de audio o los documentos.

Sin embargo, incluso el acceso a una sola aplicación “aislada” y a sus datos puede ser todo lo que un atacante quiere o necesita, especialmente si esa aplicación es la que utilizas para comunicarte de forma segura con tus colegas, amigos y familiares, como WhatsApp.

Un malware de WhatsApp que pueda leer tus mensajes pasados, o incluso sólo tu lista de contactos, y nada más, podría proporcionar un tesoro de datos a los ciberdelincuentes, especialmente si su objetivo es aprender más sobre ti y tu negocio para vender esa información privilegiada a otros delincuentes en la web oscura.

Un error de software que abre agujeros de ciberseguridad se conoce como una vulnerabilidad, y cualquier ataque que hace uso práctico de una vulnerabilidad específica se conoce como un exploit.

Y cualquier vulnerabilidad conocida en WhatsApp que pueda ser explotada con fines de espionaje merece ser parcheada lo antes posible, aunque nadie descubra nunca un exploit que funcione para robar datos o implantar malware.

(No todas las vulnerabilidades acaban siendo explotables para RCE: algunos bugs resultan ser lo suficientemente caprichosos como para que, incluso si se pueden activar de forma fiable para provocar un fallo o una denegación de servicio, no se puedan domar lo suficientemente bien como para tomar el control de la aplicación atacada).

¿Qué hacer?

La buena noticia es que los fallos mencionados aquí fueron aparentemente parcheados hace cerca de un mes, aunque los últimos informes que hemos visto implican que estos fallos representan un peligro claro y actual para los usuarios de WhatsApp.

Como señala la página de avisos de WhatsApp, estos dos agujeros denominados “de día cero” están parcheados en todas las versiones de la aplicación, tanto para Android como para iOS, con números de versión 2.22.16.12 o posteriores.

Según la App Store de Apple, la versión actual de WhatsApp para iOS (tanto la de Messenger como la de Business) es ya la 2.22.19.78, con cinco actualizaciones intermedias lanzadas desde la primera corrección que parcheó los citados fallos, que ya se remonta a un mes atrás.

En Google Play, WhatsApp ya está en la versión 2.22.19.76 (las versiones no siempre coinciden exactamente entre los distintos sistemas operativos, pero suelen estar cerca).

En otras palabras, si has configurado tu dispositivo para que se actualice automáticamente, entonces ya deberías estar parcheado contra estas amenazas de WhatsApp desde hace aproximadamente un mes.

Para comprobar las aplicaciones que tienes instaladas, cuándo se actualizaron por última vez y los detalles de su versión, abre la aplicación App Store en iOS o Play Store en Android.

Pulsa en el icono de tu cuenta para acceder a la lista de aplicaciones que tienes instaladas en tu dispositivo, incluyendo los detalles de cuándo se actualizaron por última vez y el número de versión actual que tienes.

Exit mobile version