Vulnerabilidad crítica en WhatsApp y Telegram web

La próxima vez que alguien te envíe una foto de un “lindo gatito” al servicio web de WhatsApp o Telegram, ten cuidado antes de hacer clic en la imagen para ver porque podrías resultar infectado o hackeado.

Se ha descubierto y solucionado una nueva vulnerabilidad crítica en los dos servicios más populares de mensajería de mensajería, WhatsApp y Telegram. Esta vulnerabilidad permitía tomar el control completo de la cuenta del usuario, simplemente haciendo clic en una imagen (manipulada).

El hack sólo afectó a las versiones web de WhatsApp y Telegram, por lo que los usuarios que dependen de las aplicaciones móviles no son vulnerables al ataque.

Según los investigadores de seguridad de Checkpoint, la vulnerabilidad residía en la forma en que los servicios procesaban las imágenes y archivos multimedia, sin verificar que pudieran haber escondido códigos maliciosos en su interior.

Para explotar la falla, todo lo que un atacante necesitaba hacer era enviar el código malicioso escondido dentro de una imagen de apariencia inocente. Una vez que la víctima hiciera clic en la imagen, el atacante podría haber obtenido acceso completo a los datos de almacenamiento de WhatsApp o Telegram de la víctima. Luego, para que este ataque sea generalizado, el atacante podía enviar la imagen con un malware a todos los contactos de la víctima.

Los investigadores también proporcionaron una demostración en video.

Tanto WhatsApp como Telegram usan cifrado de extremo a extremo para sus mensajes para asegurar que nadie, excepto el remitente y el receptor, pueda leer los mensajes. Sin embargo, esta misma medida de seguridad de cifrado fue también la fuente de esta vulnerabilidad.

Dado que los mensajes eran cifrados en el lado del remitente, WhatsApp y Telegram no tenían forma de saber que existía un código malicioso dentro de la imagen. Ahora, dado que las correcciones se han aplicado en el extremo del servidor, los usuarios no tienen que actualizar ninguna aplicación para protegerse del ataque; sólo necesitan reiniciar al navegador.

WhatsApp arregló la falla el jueves 8 de marzo y Telegram corrigió el problema el lunes pasado.

Fuente: The Hacker News

Share

This entry was posted in bugs, moviles, seguridad, servicios web, updates. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *