WhatsApp permite compartir todo tipo de contenido a través de la aplicación con nuestros amigos y grupos. Las fotos y los vídeos de WhatsApp son el tipo de contenido multimedia que más se comparte, y por ello es realmente grave que se haya descubierto una grave vulnerabilidad que permite a un hacker tomar el control de la app con un simple archivo de vídeo.
Cuidado si recibes un archivo .mp4 por WhatsApp: vulnerabilidad para hackearte
WhatsApp está empezando a convertirse en un auténtico coladero de malware. No paran de aparecer agujeros de seguridad, siendo el más grave el que permitía hackear la app y el móvil con sólo una llamada, sin que hiciera falta siquiera que el receptor la respondiese. Ahora, un nuevo bug puede hackear nuestro móvil si descargamos un archivo de vídeo en formato .mp4.
La vulnerabilidad ha sido clasificada como crítica, afectando a una parte del MP4 File Handler que permite a un atacante modificar el archivo para aprovechar la vulnerabilidad. Si consigue colar el archivo en nuestro móvil, puede generar una corrupción de memoria en la app y ataques DDoS, pudiendo robar archivos sensibles y espiar nuestro móvil. Y todo de manera remota sin necesitar tener acceso al móvil, siendo este el motivo por el que le han asignado categoría «crítica» a la vulnerabilidad, y es la segunda junto con la de las llamadas que se ha descubierto este año en la aplicación. Y a saber cuántas más habrá.
Bautizada como CVE-2019-11931, el precio de esta vulnerabilidad rondaría entre los 5.000 y 25.000 dólares basado en la demanda de mercado, aumentando su valor si no estuviera ya parcheada. No se han publicado detalles técnicos al respecto para no ponérselo fácil a los hackers, ni tampoco se ha publicado un exploit como prueba de concepto.
El fallo está parcheado desde principios de octubre
A diferencia de lo ocurrido con NSO Group con la vulnerabilidad de las llamadas, de momento no hay evidencias de que ésta la hayan usado como parte de su kit de hackeo que venden a gobiernos de grandes países en todo el mundo para hackear a objetivos políticos.
El fallo fue parcheado el pasado 3 de octubre en la versión 2.19.274 de Android, así como en la versión 2.19.100 de iOS, por lo que, si no has actualizado todavía la aplicación, tienes que hacerlo o serás vulnerable al ataque. También fue parcheado en la versión equivalente de WhatsApp Business de iOS (2.19.100) y en la de WhatsApp Business para Android (2.19.104). La versión para empresas también recibió parche en la versión 2.25.3, y la de Windows Phone en la 2.18.368.
Este tipo de vulnerabilidades no han aparecido nunca en otras apps como Telegram, mientras que es raro el año que no se descubre una en WhatsApp. La compañía está empezando a generar dudas en tanto que parece que estas vulnerabilidades son puertas traseras introducidas por ellos mismos y no fallos fortuitos. Por desgracia, seguro que no es la última vulnerabilidad que encontraremos en WhatsApp.