Errores de WhatsApp podrían haber permitido a ciberatacantes acceder a teléfonos de forma remota

La app de mensajería, WhatsApp (propiedad de Facebook) abordó recientemente dos vulnerabilidades de seguridad en su aplicación de Android que podrían haber sido explotadas para ejecutar código malicioso de forma remota en el dispositivo e incluso comprometer las comunicaciones cifradas. Las fallas apuntan a los dispositivos que ejecutan versiones de Android hasta Android 9, inclusive, […]

La app de mensajería, WhatsApp (propiedad de Facebook) abordó recientemente dos vulnerabilidades de seguridad en su aplicación de Android que podrían haber sido explotadas para ejecutar código malicioso de forma remota en el dispositivo e incluso comprometer las comunicaciones cifradas.

Las fallas apuntan a los dispositivos que ejecutan versiones de Android hasta Android 9, inclusive, al llevar a cabo lo que se conoce como un ataque de “hombre en el disco” que hace posible que los actores maliciosos comprometan una aplicación manipulando ciertos datos que se intercambian entre ellos. y el almacenamiento externo.

“Las dos vulnerabilidades de WhatsApp mencionadas anteriormente habrían hecho posible que los atacantes recopilaran de forma remota material criptográfico TLS para las sesiones TLS 1.3 y TLS 1.2”, dijeron investigadores de Census Labs .

“Con los secretos de TLS a mano, demostraremos cómo un ataque man-in-the-middle (MitM) puede llevar al compromiso de las comunicaciones de WhatsApp, a la ejecución remota de código en el dispositivo de la víctima y a la extracción de las claves del protocolo Noise utilizadas. para el cifrado de extremo a extremo en las comunicaciones de los usuarios “.

En particular, la falla ( CVE-2021-24027 ) aprovecha el soporte de Chrome para proveedores de contenido en Android (a través del esquema de URL “content: //”) y una omisión de política del mismo origen en el navegador (CVE-2020-6516), permitiendo así que un atacante envíe un archivo HTML especialmente diseñado a una víctima a través de WhatsApp, que, cuando se abre en el navegador, ejecuta el código contenido en el archivo HTML.

Peor aún, el código malicioso se puede usar para acceder a cualquier recurso almacenado en el área de almacenamiento externo desprotegido, incluidos los de WhatsApp, que se encontró que guardaba los detalles de la clave de la sesión TLS en un subdirectorio, entre otros, y como resultado, exponía datos sensibles. información a cualquier aplicación que esté aprovisionada para leer o escribir desde el almacenamiento externo.

“Todo lo que tiene que hacer un atacante es atraer a la víctima para que abra un documento HTML adjunto”, dijo el investigador de Census Labs, Chariton Karamitas. “WhatsApp procesará este archivo adjunto en Chrome, a través de un proveedor de contenido, y el código Javascript del atacante podrá robar las claves de sesión TLS almacenadas”.

Armado con las claves, un mal actor puede realizar un ataque de intermediario para lograr la ejecución remota de código o incluso exfiltrar los pares de claves del protocolo Noise (utilizados para el cifrado de extremo a extremo) recopilados por la aplicación con fines de diagnóstico. activando deliberadamente un error de memoria insuficiente de forma remota en el dispositivo de la víctima.

Cuando se produce este error, el mecanismo de depuración de WhatsApp se activa y carga los pares de claves codificadas junto con los registros de la aplicación, la información del sistema y otro contenido de la memoria a un servidor de registros de fallos dedicado (“crashlogs.whatsapp.net”). Pero vale la pena señalar que esto solo ocurre en dispositivos que ejecutan una nueva versión de la aplicación y “han transcurrido menos de 10 días desde la fecha de lanzamiento de la versión actual”.