Durante los últimos uno o dos días, nuestra fuente de noticias ha estado repleta de advertencias sobre WhatsApp.
Vimos muchos informes vinculados a dos tweets que afirmaban la existencia de dos agujeros de seguridad de día cero en WhatsApp, dando sus ID de error como CVE-2022-36934 y CVE-2022-27492.
Un artículo, aparentemente basado en esos tweets, insistió sin aliento no solo en que se trataba de errores de día cero, sino también en que habían sido descubiertos internamente y corregidos por el propio equipo de WhatsApp.
Por definición, sin embargo, un día cero se refiere a un error que los atacantes descubrieron y descubrieron cómo explotar antes de que un parche estuviera disponible, por lo que hubo cero días en los que incluso el administrador de sistemas más proactivo con la actitud más progresista para parchear podría haber estado por delante del juego.
En otras palabras, la idea de afirmar que un error es un día cero (a menudo escrito con solo un dígito, como 0-día) es persuadir a la gente de que el parche es al menos tan importante como siempre, y quizás más importante que eso, porque instalar el parche es más una cuestión de ponerse al día con los ladrones que de mantenerse frente a ellos.
Si los desarrolladores descubren un error por sí mismos y lo reparan por su propia voluntad en su próxima actualización, no es un día cero, porque los Good Guys llegaron primero.
Asimismo, si los investigadores de seguridad siguen el principio de divulgación responsable, donde revelan los detalles de un nuevo error a un proveedor pero acuerdan no publicar esos detalles durante un período de tiempo acordado para darle tiempo al proveedor de crear un parche, no es un día cero.
Establecer una fecha límite de divulgación responsable para publicar un informe sobre el error tiene dos propósitos, a saber, que el investigador en última instancia pueda llevarse el crédito por el trabajo, mientras que se evita que el proveedor esconda el problema bajo la alfombra, sabiendo que se descubrirá de todos modos. en el final.
Entonces, cual es la verdad?
¿Está WhatsApp actualmente bajo ataque activo de ciberdelincuentes? ¿Es este un peligro claro y actual?
¿Qué tan preocupados deberían estar los usuarios de WhatsApp?
En caso de duda, consulte el aviso
Por lo que podemos decir, los informes que circulan en este momento se basan en información directamente del propio WhatsApp 2022. página de aviso de seguridad, que dice [2022-09-27T16:17:00Z]:
Avisos de seguridad de WhatsApp Actualizaciones 2022 Actualización de septiembre CVE-2022-36934 Un desbordamiento de enteros en WhatsApp para Android antes de v2.22.16.12, Business para Android antes de v2.22.16.12, iOS antes de v2.22.16.12, Business para iOS antes de v2.22.16.12 podría resultar en la ejecución remota de código en una videollamada establecida. CVE-2022-27492 Un subdesbordamiento de enteros en WhatsApp para Android anterior a v2.22.16.2, WhatsApp para iOS v2.22.15.9 podría haber causado la ejecución remota de código al recibir un archivo de video manipulado.
Ambos errores se enumeran como potencialmente conducentes a ejecución remota de código, o RCE para abreviar, lo que significa que los datos ocultos podrían forzar el bloqueo de la aplicación, y que un atacante experto podría manipular las circunstancias del bloqueo para desencadenar un comportamiento no autorizado en el camino.
Por lo general, cuando se trata de un RCE, ese "comportamiento no autorizado" significa ejecutar un código de programa malicioso o malware para subvertir y tomar algún tipo de control remoto sobre su dispositivo.
De las descripciones, asumimos que el primer error requirió una llamada conectada antes de que pudiera activarse, mientras que el segundo error parece que podría activarse en otros momentos, por ejemplo, mientras lee un mensaje o ve un archivo ya descargado en su dispositivo. .
Las aplicaciones móviles suelen estar reguladas mucho más estrictamente por el sistema operativo que las aplicaciones en computadoras portátiles o servidores, donde los archivos locales generalmente son accesibles y comúnmente compartidos entre múltiples programas.
Esto, a su vez, significa que el compromiso de una sola aplicación móvil generalmente presenta un riesgo menor que un ataque de malware similar en su computadora portátil.
En su computadora portátil, por ejemplo, su reproductor de podcast probablemente pueda echar un vistazo a sus documentos de forma predeterminada, incluso si ninguno de ellos son archivos de audio, y su programa de fotos probablemente pueda hurgar en su carpeta de hojas de cálculo (y viceversa).
Sin embargo, en su dispositivo móvil, normalmente hay una separación mucho más estricta entre las aplicaciones, por lo que, al menos de manera predeterminada, su reproductor de podcasts no puede ver documentos, su programa de hoja de cálculo no puede buscar sus fotos y su aplicación de fotos no puede ver archivos de audio o documentos.
Sin embargo, incluso el acceso a una sola aplicación "en zona de pruebas" y sus datos puede ser todo lo que un atacante quiere o necesita, especialmente si esa aplicación es la que usa para comunicarse de forma segura con sus colegas, amigos y familiares, como WhatsApp.
El malware de WhatsApp que podría leer sus mensajes anteriores, o incluso solo su lista de contactos, y nada más, podría proporcionar un tesoro de datos para los delincuentes en línea, especialmente si su objetivo es obtener más información sobre usted y su negocio para vender eso. información privilegiada a otros delincuentes en la dark web.
Un error de software que abre agujeros de ciberseguridad se conoce como vulnerabilidad, y cualquier ataque que haga un uso práctico de una vulnerabilidad específica se conoce como explotar.
Y vale la pena reparar cualquier vulnerabilidad conocida en WhatsApp que pueda explotarse con fines de espionaje lo antes posible, incluso si nadie descubre una vulnerabilidad que funcione para robar datos o implantar malware.
(No todas las vulnerabilidades terminan siendo explotables para RCE: algunos errores resultan ser lo suficientemente caprichosos como para que, incluso si pueden activarse de manera confiable para provocar un bloqueo, o denegación de servicio, no se pueden domesticar lo suficientemente bien como para hacerse cargo de la aplicación bloqueada por completo).
¿Qué hacer?
La buena noticia aquí es que los errores enumerados aquí aparentemente se corrigieron hace cerca de un mes, aunque los últimos informes que hemos visto implican que estas fallas representan un peligro claro y actual para los usuarios de WhatsApp.
Como señala la página de avisos de WhatsApp, estos dos llamados agujeros de "día cero" están parcheados en todas las versiones de la aplicación, tanto para Android como para iOS, con números de versión. 2.22.16.12 o posterior.
Según la App Store de Apple, la versión actual de WhatsApp para iOS (tanto Messenger como Business) ya está 2.22.19.78, con cinco actualizaciones intermedias publicadas desde la primera corrección que corrigió los errores mencionados anteriormente, que ya data de hace un mes.
En Google Play, WhatsApp ya está al día 2.22.19.76 (La versión no siempre se alinea exactamente entre los diferentes sistemas operativos, pero a menudo son similares).
En otras palabras, si configuró su dispositivo para que se actualice automáticamente, entonces debería haber sido parcheado contra estas amenazas de WhatsApp durante aproximadamente un mes.
Para comprobar las aplicaciones que ha instalado, cuándo se actualizaron por última vez y los detalles de su versión, abra el App Store aplicación en iOS, o Play Store en Android.
Toque el ícono de su cuenta para acceder a la lista de aplicaciones que instaló en su dispositivo, incluidos los detalles de cuándo se actualizaron por última vez y el número de versión actual que tiene.
