WhatsApp aplicó el cifrado de extremo a extremo hace unos meses en su servicio, algo que por fin ofrecía mucha más seguridad y privacidad a las conversaciones entre los usuarios. El sistema, no obstante, no era invulnerable: una simple foto podría haber tumbado esos mecanismos de cifrado.
Investigadores de la empresa de seguridad informática Check Point descubrieron una vulnerabilidad en la versión web de WhatsApp que permitiría insertar código dentro de una imagen aparentemente inocua. Si el usuario de WhatsApp la abría, acababa dando acceso al atacante a todo el historial de mensajes y adjuntos. Telegram estaba afectada en menor medida, pero ambos servicios han corregido ya el problema.
Todo ha quedado en un susto
WhatsApp corrigió la vulnerabilidad en menos de 24 horas el pasado 8 de marzo tras el aviso de los expertos de Check Point. En Telegram también corrigieron el problema este lunes pasado, aunque en su caso el problema era menor ya que los usuarios tenían que pinchar en la imagen recibida en la pestaña de WhatsApp de su navegador con el botón derecho y abrirla en una nueva ventana o pestaña para que el código se ejecutase.

Los responsables de WhatsApp han revelado que la vulnerabilidad no ha sido explotada según sus datos, pero como explicaba uno de los responsables del descubrimiento, filtraciones recientes como las de la CIA dejan claro que las agencias de inteligencia —y no solo potenciales ciberatacantes— estarían muy interesadas en tal tipo de fallos de seguridad.
Este potencial ataque afectaba solo a la versión web de estos servicios, pero los parches aplicados tanto por WhatsApp como por Telegram solucionan el problema, y los usuarios no tienen que hacer nada salvo reiniciar el navegador para que los cambios tomen efecto.
Vía | Forbes
En Xataka | Cómo funciona el cifrado extremo a extremo de Whatsapp
Ver 10 comentarios
10 comentarios
sathwan
"Un fallo de seguridad fue expuesto en WhatsApp. Algunos medios dijeron que teníamos el mismo problema. NO es así: http://telegra.ph/Checkpoint-Confusion-NEWS-es"
https://twitter.com/telegram_es/status/842072026659586048
"A major security flaw was found in WhatsApp today, and some media wrongly claimed Telegram had the same issue: http://telegra.ph/Checkpoint-Confusion-NEWS"
https://twitter.com/durov/status/842066852897533956
[...] The part about Telegram in this statement is not true. Sadly, it is now part of a barrage of articles written by mislead journalists all over the globe. So if you see a headline like "How one photo could have hacked your WhatsApp and Telegram accounts", feel free to tell the author that they've been duped by an irresponsible security company.
jularaxd
Realmente no sabemos si todo ha quedado en un susto... ya que si existía esa vulnerabilidad ha podido ser utilizada infinidad de veces.
rocketboom
Es lo que siempre digo, vaya usted a saber cuantas vulnerabilidades similares asi habrá y que las ciencias de gobiernos las estarán utilizando
Flycow
Hoy estoy muy feliz comentando sobre URI. Una idea básica de como funciona esta vulnerabilidad:
El atacante envía un archivo con el código malicioso, no se de donde habrán sacado los medios lo de imágen, ya que el archivo se ve así. Cuando la víctima abre el archivo, se ve en la barra de navegación que lo primero es blob:https://web.whatsapp.com/una serie de símbolos. Ahora bien, que es esto? Blob se usa básicamente para que JavaScript pueda leer cosas de la página en la que esta insertado el script, por lo que asumo (repito, a partir de aquí es pura suposición) que el código embebido en la imagen es JS y lo que hace es leer los datos que llegan al sitio cuando escaneas el código QR con tu móvil y enviarlos al atacante; este atacante recibe un mensaje por JS de web.whatsapp.com y los datos de inicio de sesión son cambiados por lo que el atacante ingresa a la cuenta de la víctima y puede ver lo mismo que vería alguien que ha iniciado sesión legítimamente.
Si crees que esto te puede haber pasado ve a tu móvil y cierra todas las sesiones de WhatsApp Web. Para terminar les dejo un vídeo demostración de la vulnerabilidad:
https://goo.gl/2GNSHW
Oh. Y en el caso de telegram el usuario tiene que dar click derecho y abrir en una nueva pestaña el archivo, pero el funcionamiento es el mismo.
enriccarrasco
Vaya mierda de artículo en relación al titular. No podéis ser un poco más sensacionalistas?, Habéis contratado a los redactores de Yahoo?