WhatsApp reveló una vulnerabilidad grave en la aplicación que permite inyectar remotamente un spyware en dispositivos iPhone y Android, simplemente llamando al objetivo (usuario víctima).
El error, detallado en un aviso de Facebook hace un par de días como CVE-2019-3568, es una vulnerabilidad de Buffer overflow dentro de la función VOIP de WhatsApp.
¿En qué consiste?
Un atacante puede llamar a un objetivo y enviar paquetes de protocolo seguro de transporte en tiempo real (SRTP) al teléfono, permitiéndoles usar la falla de memoria en la función VOIP de WhatsApp para inyectar un spyware y controlar el dispositivo. El objetivo ni siquiera tendría que responder a la llamada para inyectar el software espía.
Una vez instalado, el spyware puede encender la cámara y el micrófono del teléfono, escanear correos electrónicos y mensajes, y recopilar los datos de ubicación del usuario.
Si bien WhatsApp tiene el cifrado de extremo a extremo, que debería proteger el contenido de las comunicaciones entre los usuarios, esta medida de seguridad puede verse afectada si un dispositivo está comprometido por un malware.
El Financial Times, que irrumpió con la historia, informó que el software espía es de la compañía israelí NSO Group, quienes ha sido acusado de vender su software espía a distintos gobiernos.
¿Por qué se liga a NSO Group con este Spyware?
El producto estrella de NSO Group es »Pegasus», una herramienta también llamada «intercepción legal», que los investigadores del Laboratorio de Ciudadanos de la Universidad de Toronto descubrieron recientemente, y que está desplegado en 45 países.
De hecho, los ingenieros de WhatsApp se reunieron el domingo para abordar la vulnerabilidad, ya que se usó ese día en un intento de instalar Pegasus en el teléfono de un abogado de derechos humanos con sede en el Reino Unido.
Según el Financial Times, el abogado del Reino Unido que fue atacado con Pegasus está demandando a NSO Group en Israel en nombre de un grupo de periodistas mexicanos y críticos del gobierno, y un disidente saudí que vive en Canadá. La demanda alega que NSO Group comparte la responsabilidad por el mal uso de sus productos por parte de los clientes.
WhatsApp implementó una solución del lado del servidor el viernes la semana pasada y emitió un parche para los usuarios finales el lunes junto con el aviso de Facebook.
Las versiones comprometidas son las siguientes:
- WhatsApp para Android previo a v2.19.134
- WhatsApp Business para Android previo a v2.19.44
- WhatsApp para iOS previo a v2.19.51
- WhatsApp Business para iOS previo a v2.19.51
- WhatsApp para Windows Phone previo a v2.18.348
- WhatsApp para Tizen previo a v2.18.15
Además, en la publicación de Whatsapp en Facebook se aclaró que: «Este ataque tiene todas las características de una empresa privada que se sabe que trabaja con los gobiernos para entregar software espía que supuestamente asume las funciones de los sistemas operativos de teléfonos móviles. Hemos informado a varias organizaciones de derechos humanos para que compartan la información».
La NSO dice que vende Pegasus a los gobiernos y agencias para ayudar a combatir el terrorismo y el crimen. De todos modos, eso no significada nada, ya que no ha impedido que el spyware sea utilizado por países, organizaciones e individuos. En 2016, el spyware NSO estuvo implicado en un ataque contra el activista de derechos humanos emiratí llamado Ahmed Mansoor. En 2018, el spyware de NSO estaba dirigido a la periodista de televisión Carmen Aristegui y a otras 11 personas, mientras investigaba un escándalo que involucraba al presidente mexicano.
Whatsapp hizo un llamado a actualizar la app y si es posible el OS del dispositivo.