This post is also available in: Português Español
El bug fue encontrado en WhatsApp Web y afectaba también los aplicativos de desktop de Windows e Mac, sin embargo, ya fue corregido.
El martes pasado (04/01), el investigador de seguridad cibernética, Gal Weizman, de PerimeterX, divulgó detalles técnicos de vulnerabilidades de alta gravedad encontradas en WhatsApp.
Identificado como CVE – 2019 – 18426, el bug se aprovecha de una vulnerabilidad de redireccionamiento abierto que puede llevar a ataques XSS (cross – site scripting) iniciados a través de un mensaje especialmente preparado y enviado a la víctima.
El cross site scripting (XSS) probablemente es la vulnerabilidad de seguridad más común existente en aplicativos Web. Se estima que aproximadamente 65% de los sitios web son vulnerables al ataque XSS, una estadística realmente preocupante.
La falla también permitía modificar el “preview” de los links enviados vía WhatsApp, incluyendo texto e imagen. Esta técnica induce al usuario a hacer clic y puede ser utilizada para redireccionarlos a sitios web maliciosos.
Abajo presentamos imágenes de los tests que hizo Weisman. En el test, el texto y el logotipo son de Facebook, sin embargo, la url direcciona al usuario a otro sitio web.
Ilustración I – Fuente: Gal Weizman – Perimeterx.com, 2019.
Al clicar en el mensaje, la víctima abre las puertas para que el cibercriminal ejecute un código remotamente en su máquina, eso incluye la posibilidad de capturar informaciones.
Ilustración II – Fuente: Gal Weizman – Perimeterx.com, 2019.
Según el investigador:
“Si las reglas del CSP (Content Security Police) estuviesen configuradas adecuadamente, el poder adquirido por ese XSS seria mucho menor, la capacidad de ignorar la configuración del CPS, permite que un invasor capture informaciones valiosas de la víctima, cargue cargas externas fácilmente y mucho más.”
Las fallas identificadas fueron relatadas por Weizman al equipo de seguridad de Facebook el año pasado, que corrigió las fallas y lanzó una versión actualizada del aplicativo para desktop.
Weizman fue recompensado con una cuantía de $12.500 dólares, premio dado por la empresa en el programa de recompensas para usuarios que identifican bugs y fallas de seguridad.
This post is also available in: Português Español