Los GIFs que te desean «buenos días» en WhatsApp ya no te pueden robar los datos
El mensaje habla de una vulnerabilidad antigua que ya ha sido solucionada
Nos habéis hecho llegar un audio de WhatsApp en que una voz robótica lee un texto supuestamente procedente de "las noticias internacionales de Shangái" según el cual los "piratas informáticos de China han diseñado imágenes, videos y películas" que ocultan "códigos de phishing" que, al ser reenviadas, pueden "robar información personal" de los dispositivos que lo reciben. Es un mensaje con contenido ENGAÑOSO y ya no tiene vigencia.
El mensaje hace referencia a un error de programación de una versión antigua de WhatsApp para el sistema operativo Android a partir del cual se podían camuflar códigos maliciosos dentro de fotografías, videos o imágenes animadas que se ejecutaban sin el conocimiento del usuario que las recibía. Esta vulnerabilidad la descubrió y explicó el usuario "Awakened" del repositorio de código GitHub en el blog de su perfil el 3 de octubre de 2019. A partir de este momento, varios medios digitales se hicieron eco.
Según este usuario, el error permitía llevar a cabo dos tipos de ataques a los dispositivos de las personas que recibían los contenidos con el código malicioso oculto. En primer lugar, la explotación de la vulnerabilidad permitía robar archivos vinculados a la aplicación de WhatsApp de la víctima como, por ejemplo, su historial de conversaciones. Por otro lado, también hacía posible instalar un código en la aplicación de la persona afectada que permitía ejecutar más código malicioso en su dispositivo, lo que se conoce como “ejecución remota de código” o “remote code executive (RCE)” en inglés.
"Awakened" explica en el artículo de su blog de GitHub que esta vulnerabilidad solo podía ser explotada en las versiones 8.1 y 9.0 de WhatsApp para Android. Después de descubrir este error, avisó a Facebook, propietaria de WhatsApp, y la empresa lo enmendó con una actualización de la aplicación en octubre de 2019. Desde este momento, las versiones 2.19.244 o superiores de WhatsApp ya no son vulnerables a este tipo de ataques.
Consideramos que esta nota de voz que nos habéis enviado es engañosa porque, aunque haga referencia a un error que existió, la fuente que se menciona ("noticias internacionales de Shangái") no es real, y la vulnerabilidad en cuestión ya ha sido solucionada.
¿En qué consiste el error?
Este error, denominado CVE-2019-11932 según la nomenclatura de la lista de vulnerabilidades informáticas conocidas de la National Vulnerability Database de los Estados Unidos, era del tipo "double free memory". Estos tipos de errores consisten en liberar el mismo espacio de memoria dos veces, de este modo, "se gana acceso en una zona de la memoria" que no es para datos y en la cual se puede escribir código "que WhatsApp piensa que son puntos de la imagen, pero que después serán ejecutados como una función del programa [malicioso]", tal como nos ha confirmado Manel Medina, profesor de la Facultad de Informática de Barcelona (FIB) e investigador del esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas).
Tal como explica "Awakened" en el artículo de su blog, el código malicioso que se podía incluir en estas imágenes podía llevar a cabo dos tareas, según Medina. Primero, "dar acceso a la galería multimedia de WhatsApp a quien había generado lo GIF corrupto". Y segundo, "abrir un intérprete de pedidos del sistema operativo" que podía permitir al atacante "ejecutar pedidos al dispositivo de la víctima". Los pedidos permiten "ejecutar cualquier programa o conjunto de instrucciones del sistema operativo, ejecutar programas con determinados parámetros, borrar o modificar ficheros, etc.".
Finalmente, Medina ha explicado a Verificat que no cree creíble que este fuera "un ataque dirigido". El código estaba en las imágenes y las personas "que cogían el control remotamente del dispositivo pueden acceder a los ficheros de imágenes o audios que gestionaba WhatsApp, pero no estaba preprogramado para hacerlo".