Falla en WhatsApp Web permitía que cibercriminales accedieran a archivos del computador - OSTEC

This post is also available in: Português Español

El bug fue encontrado en WhatsApp Web y afectaba también los aplicativos de desktop de Windows e Mac, sin embargo, ya fue corregido.

El martes pasado (04/01), el investigador de seguridad cibernética, Gal Weizman, de PerimeterX, divulgó detalles técnicos de vulnerabilidades de alta gravedad encontradas en WhatsApp.

Identificado como CVE – 2019 – 18426, el bug se aprovecha de una vulnerabilidad de redireccionamiento abierto que puede llevar a ataques XSS (cross – site scripting) iniciados a través de un mensaje especialmente preparado y enviado a la víctima.

El cross site scripting (XSS) probablemente es la vulnerabilidad de seguridad más común existente en aplicativos Web. Se estima que aproximadamente 65% de los sitios web son vulnerables al ataque XSS, una estadística realmente preocupante.

La falla también permitía modificar el “preview” de los links enviados vía WhatsApp, incluyendo texto e imagen. Esta técnica induce al usuario a hacer clic y puede ser utilizada para redireccionarlos a sitios web maliciosos.

Abajo presentamos imágenes de los tests que hizo Weisman. En el test, el texto y el logotipo son de Facebook, sin embargo, la url direcciona al usuario a otro sitio web.

Ilustración I – Fuente: Gal Weizman – Perimeterx.com, 2019.

Al clicar en el mensaje, la víctima abre las puertas para que el cibercriminal ejecute un código remotamente en su máquina, eso incluye la posibilidad de capturar informaciones.

Ilustración II – Fuente: Gal Weizman – Perimeterx.com, 2019.

Según el investigador:

“Si las reglas del CSP (Content Security Police) estuviesen configuradas adecuadamente, el poder adquirido por ese XSS seria mucho menor, la capacidad de ignorar la configuración del CPS, permite que un invasor capture informaciones valiosas de la víctima, cargue cargas externas fácilmente y mucho más.”

Las fallas identificadas fueron relatadas por Weizman al equipo de seguridad de Facebook el año pasado, que corrigió las fallas y lanzó una versión actualizada del aplicativo para desktop.

Weizman fue recompensado con una cuantía de $12.500 dólares, premio dado por la empresa en el programa de recompensas para usuarios que identifican bugs y fallas de seguridad.

This post is also available in: Português Español

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Firewall UTM open source

Facebook tiene bug, desde hace 10 años, que permite el secuestro de cuentas de usuarios por parte de cibercriminales

Cadastre-se em nossa newsletter