Este error en WhatsApp Web pudo haber dado acceso a tu PC a ciberdelincuentes - Imperio Noticias

>

mundo Este error en WhatsApp Web pudo haber dado acceso a tu PC a ciberdelincuentes

Este error en WhatsApp Web pudo haber dado acceso a tu PC a ciberdelincuentes

WhatsApp Web es utilizado por millones de personas en todo el mundo, debido a un error de la compañía podrían haber sufrido ataques cibernéticos y el robo de archivos personales.



Whatsapp Web, la versión para PC de la aplicación de mensajería más grande del mundo tiene un error de seguridad que podría permitir a delincuentes cibernéticos robar archivos desde la computadora de una víctima con tan solo enviar un mensaje.

WhatsApp pudo haber evitado el error



- Un investigador de ciberseguridad detalló el modo en el que operan las múltiples vulnerabilidades de la aplicación, que de ser explotadas podrían afectar a los miles de millones de usuarios de la plataforma de diferentes maneras.

Descubiertos por el investigador de PerimeterX Gal Weizman y rastreados como CVE-2019-18426, los defectos residían específicamente en la aplicación para escritorio. En una publicación de blog de febrero de este año, Weizman reveló que WhatsApp Web era vulnerable a una falla de redireccionamiento abierto potencialmente peligrosa que conducía a ataques persistentes de secuencias de comandos entre sitios, que podrían haberse desencadenado enviando un mensaje especialmente diseñado a los usuarios de WhatsApp objetivo.

- El investigador encontró que el error permitía encubrir páginas maliciosas encubriendo los enlaces con banners confiables, como una invitación a unirse a Facebook

En el caso de que una víctima desprevenida vea el mensaje malicioso a través del navegador, la falla podría haber permitido a los atacantes ejecutar código arbitrario en el contexto del dominio web de WhatsApp.

Además, la política de seguridad de contenido mal configurada en el dominio web de WhatsApp también permitió al investigador hacer cargas útiles XSS de cualquier longitud utilizando un iframe de un sitio web independiente controlado por el atacante en Internet.

- Las vulnerabilidades que se muestran en las capturas solo son visibles para investigadores experimentados

"Si las reglas de CSP estuvieran bien configuradas, la potencia obtenida por este XSS habría sido mucho menor. Ser capaz de eludir la configuración de CSP permite a un atacante robar información valiosa de la víctima, hacer cargas útiles externas fácilmente y mucho más", agregó el investigador.

Como se muestra en la captura de pantalla anterior, Weizman demostró el ataque de lectura de archivos remotos a través de la plataforma de mensajería para escritorio al acceder al contenido del archivo de hosts desde la computadora de la víctima.

La falla de redireccionamiento abierto también podría haberse utilizado para manipular banners de URL, una vista previa del dominio que WhatsApp muestra a los destinatarios cuando reciben un mensaje que contiene enlaces y engañar a los usuarios para que caigan en ataques de phishing.

Te puede interesar:WhatsApp Web: Ventajas y desventajas de usar la aplicación para PC

WhatsApp Web

Weizman informó de manera responsable estos problemas en WhatsApp Web al equipo de seguridad de Facebook el año pasado, quien luego corrigió las fallas, lanzó una versión actualizada de su aplicación de escritorio y también recompensó a Weizman con 12,500 dólares bajo el programa de recompensas por errores de la compañía.

-Síguenos en Facebook y entérate de las noticias trend de la semana

>
Posted by on
Labels:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)