Defecto en vCard expone hasta 200 millones de usuarios de WhatsApp web

Expertos en seguridad de CheckPoint Security descubrieron un defecto en WhatsApp Web que podría ser explotada por atacantes para comprometer cientos de millones de usuarios.





Según la empresa de seguridad de CheckPoint, una vulnerabilidad en el popular servicio de mensajería WhatsApp Web expone hasta 200 millones de sus usuarios en riesgo de ataque cibernético.

WhatsApp Web permite a los usuarios de la aplicación móvil popular para acceder a sus mensajes desde la computadora.

Un atacante puede explotar la falla en WhatsApp Web, la versión web de la aplicación móvil y puede ser aprovechada para engañar a los usuarios para ejecutar código arbitrario en su PC.

El investigador de seguridad Kasif Dekel de CheckPoint explicó que la vulnerabilidad puede ser explotada por el simple envío de una tarjeta de contacto vCard que contiene código malicioso a un usuario WhatsApp que al abrirlo en WhatsApp Web ejecuta el código.

Un atacante puede inyectar un comando en el atributo “name” de la vCard mediante el carácter ‘&’ como separador. Windows analiza automáticamente los distintos atributos que componen el vCard tratando de ejecutar su contenido, incluyendo el comando inyectado.

“El investigador de seguridad de CheckPoint Kasif Dekel recientemente descubrió importantes vulnerabilidades que explotan la lógica de WhatsApp Web y permiten a los atacantes engañar a las víctimas en ejecutar código arbitrario en sus máquinas de una forma nueva y sofisticada. Todo lo que el atacante tiene que hacer para aprovechar esta vulnerabilidad es enviar a un usuario una vCard aparentemente inocente que contiene código malicioso. Una vez abierto, el presunto contacto se revela como un archivo ejecutable, comprometiendo aún más computadoras mediante la distribución de los robots, ransomware, RATs y otros malwares. ” Afirma CheckPoint en su entrada de blog.

La explotación de la falla podría permitir a los delincuentes servir distintos tipos de malware en el equipo de destino, incluyendo RATs (Remote access tools) y ransomware. La falla explota la falta de validación de la tarjeta de contacto enviada en formato ‘vCard’.

“Manualmente interceptando y elaborando las solicitudes de XMPP a los servidores de WhatsApp, era posible controlar la extensión del archivo de tarjeta de contacto”, añadió Dekel.

Los expertos destacaron que el atacante sólo tiene que crear un contacto e inyectar código malicioso en el atributo nombre directamente en el teléfono, y entonces enviarlo a través del cliente WhatsApp deseado.

CheckPoint añadió que los atacantes también pueden utilizar un icono para explotar la falla y servir binarios maliciosos.

“Pero espere, hay más! atacantes mas inteligentes pueden explotar esto en escenarios más tortuosos, utilizando el icono que aparece para enriquecer la estafa:

Este sencillo truco abre un vasto mundo de oportunidades para los cibercriminales y estafadores, en efecto, permite un fácil “WhatsApp Phishing”. La explotación masiva de esta vulnerabilidad podría haber afectado a millones de usuarios, sin darse cuenta de la naturaleza maliciosa de los datos adjuntos “.

Check Point reportó la falla de WhatsApp a finales del mes pasado y la compañía rápidamente la arregló. WhatsApp Web v0.1.4481 fue liberada para dar solución a esta vulnerabilidad.

Leave a Reply