Facebook ha detectado una vulnerabilidad crítica en WhatsApp que expone datos personales a través de vídeos en formato MP4. El fallo de seguridad afecta tanto a dispositivos Android como iOS.

Los de Menlo Park, que son los dueños de la empresa de mensajería instantánea, ha comunicado la existencia de esta brecha en versiones antiguas de la aplicación. Y aseguran que puede ser utilizada por los ciberdelincuentes para lanzar ataques DoS (denegación del servicio) o RCE (ejecución remota del código). Según sus expertos, podría desencadenarse un desbordamiento de búfer (stack-based buffer overflow) al enviar a un usuario de WhatsApp un archivo específicamente diseñado para conseguirlo. 

El fallo de seguridad afecta tanto a dispositivos Android como iOS

Las versiones afectadas son las anteriores a 2.19.274 en el caso de Android; y anteriores a 2.19.100 en iOS. También lo están las versiones anteriores a 2.25.3 en Enterprise Client; anteriores a 2.18.368 en Windows Phone; y anteriores a 2.19.100 en Business para iOS.

Ataques

El ataque DoS se basa en la sobrecarga de los sistemas de las víctimas para que el dispositivo o la red de las mismas deje de estar disponible y pueda acceder así al robo de su información personal. Por su parte, el RCE es un ataque informático que consiste en que el hacker puede hacer que el dispositivo de la víctima pueda ejecutar el código de manera remota, mientras él se encarga de desarrollar su propia programación para conseguir tener un completo acceso al aparato atacado. 

Para acceder a los datos de las víctimas, el hacker tiene que enviar un archivo MP4 a las mismas a través de la aplicación. Si estas lo abren, el ciberdelincuente aprovecha la vulnerabilidad de la aplicación denominada de desbordamiento de la pila de búfer para lanzar los ataque DoS o REC y robar la información almacenada en la app.

Esta vulnerabilidad es un error de 'software' que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian y almacenan en una memoria diseñada para ello. Si la cantidad de datos destinada a almacenar en la misma supera la capacidad que esta tiene, los bytes sobrantes se guardan en zonas de memoria adyacentes y sobreescriben su contenido original, que suele pertenecer a datos o códigos almacenados en memoria.