Els GIFs que et desitgen “bon dia” a WhatsApp ja no et poden robar les dades

El missatge parla d’una vulnerabilitat antiga que ja ha estat solucionada


Ens heu fet arribar un àudio de WhatsApp en què una veu robòtica llegeix un text suposadament procedent de "les notícies internacionals de Shanghai" segons el qual els "pirates informàtics de la Xina han dissenyat imatges, vídeos i pel·lícules" que oculten "codis de phishing" que, en ser reenviades, poden "robar informació personal" dels dispositius que el reben. És un missatge amb contingut ENGANYÓS i ja no té vigència.

El missatge fa referència a un error de programació d’una versió antiga de WhatsApp pel sistema operatiu Android a partir del qual es podien camuflar codis maliciosos dins de fotografies, vídeos o imatges animades que s’executaven sense el coneixement de l’usuari que les rebia. Aquesta vulnerabilitat la va descobrir i explicar l’usuari "Awakened" del repositori de codi GitHub al bloc del seu perfil el 3 d’octubre de 2019. A partir d’aquest moment, diversos mitjans digitals se’n van fer ressò.

Segons aquest usuari, l’error permetia dur a terme dos tipus d’atacs als dispositius de les persones que rebien els continguts amb el codi maliciós ocult. En primer lloc, l’explotació de la vulnerabilitat permetia robar arxius vinculats a l’aplicació de WhatsApp de la víctima com, per exemple, el seu historial de converses. Per altra banda, també feia possible instal·lar un codi a l’aplicació de la persona afectada que permetia executar més codi maliciós al seu dispositiu, el que es coneix com a “execució remota de codi” o “remote code executiu (RCE)” en anglès.

"Awakened" explica a l'article del seu bloc de GitHub que aquesta vulnerabilitat només podia ser explotada a les versions 8.1 i 9.0 de WhatsApp per Android. Després de descobrir aquest error, va avisar a Facebook, propietària de WhatsApp, i l’empresa va esmenar-lo amb una actualització de l’aplicació l’octubre de 2019. Des d’aquest moment, les versions 2.19.244 o superiors de WhatsApp ja no són vulnerables a aquest tipus d’atacs.

Considerem que aquesta nota de veu que ens heu enviat és enganyosa perquè, encara que faci referència a un error que va existir, la font que s’hi menciona ("notícies internacionals de Shanghai") no és real, i la vulnerabilitat en qüestió ja ha estat solucionada.

En què consisteix l’error?

Aquest error, anomenada CVE-2019-11932 segons la nomenclatura de la llista de vulnerabilitats informàtiques conegudes de la National Vulnerability Database dels Estats Units, era del tipus "double free memory". Aquests tipus d’errors consisteixen a alliberar el mateix espai de memòria dos cops, d’aquesta manera, "es guanya accés a una zona de la memòria" que no és per dades i en la qual es pot escriure codi "que WhatsApp pensa que són punts de la imatge, però que després seran executats com a una funció del programa [maliciós]", tal com ens ha confirmat Manel Medina, professor de la Facultat d’Informàtica de Barcelona (FIB) i investigador de l’esCERT-UPC (Equip de Seguretat per a la Coordinació d’Emergències en Xarxes Telemàtiques).

Tal com explica "Awakened" a l’article del seu bloc, el codi maliciós que es podia incloure en aquestes imatges podia dur a terme dues tasques, segons Medina. Primer, "donar accés a la galeria multimèdia de WhatsApp a qui havia generat el GIF corrupte". I segon, "obrir un intèrpret de comandes del sistema operatiu" que podia permetre a l’atacant "executar comandes al dispositiu de la víctima". Les comandes permeten "executar qualsevol programa o conjunt d’instruccions al sistema operatiu, executar programes amb determinats paràmetres, esborrar o modificar fitxers, etc.".

Finalment, Medina ha explicat a Verificat que no creu creïble que aquest fos "un atac dirigit". El codi era a les imatges i les persones "que agafaven el control remotament del dispositiu poden accedir als fitxers d’imatges o àudios que gestionava WhatsApp, però no estava preprogramat per fer-ho".