WhatsApp, al igual que otras apps para teléfonos inteligentes como Telegram y Snapchat, no está exenta de padecer de ciertos agujeros de seguridad que comprometen los datos de sus usuarios. Esto ha quedado en evidencia en ocasiones pasadas, así como en la de ahora, que trata sobre otro problema que puede afectar la privacidad de un número no especificado de personas.
El nuevo problema de Whatsapp que acontece a día de hoy tiene que ver con los archivos MP4 maliciosos. Este lo ha comunicado Facebook de manera oficial, por lo que ya está siendo investigado y pronto se le estaría dando fin.
En detalle, según lo que se ha podido desvelar, el MP4 puede activar la etiqueta enviando un archivo MP4 especialmente diseñado. El pirata informático potencial puede inyectar código analizando los metadatos de flujo elemental de un archivo MP4 que podría provocar DoS (ataque de denegación de servicio) o incluso puede iniciar la ejecución remota de código. No necesita ninguna autenticación para realizar el ataque de forma remota. La compañía ha clasificado la vulnerabilidad como ‘Crítica’ debido a las graves consecuencias que podrían causar si alguien hace un mal uso de la escapatoria.
El error crítico se encuentra en las versiones de WhatsApp anteriores a 2.19.274 en las versiones de Android e iOS anteriores a 2.19.100. Del mismo modo, el problema está presente en las versiones de cliente Enterprise 2.25.3 y anteriores; versiones de Windows incluidas y anteriores a 2.18.368; Business para Android versión 2.19.104 y anteriores; Business para versiones de iOS anteriores a 2.19.100.
Los hackers pueden inyectar malware o cualquier código explícito que podría haber comprometido los datos y la información esencial de varios usuarios. Incluso puede convertirse en una puerta trasera para fines de vigilancia. Sin embargo, el problema fue encontrado por el equipo interno y no fue revelado por ningún investigador o analista. Pero nadie sabe que alguien podría haberlo usado para interceptar los datos.
Esperamos que la compañía publique una actualización inmediata parcheando el error. El problema se puede abordar bajo el código ‘CVE-2019-11931’.
