WhatsApp Web es utilizado por millones de personas en todo el mundo, debido a un error de la compañÃa podrÃan haber sufrido ataques cibernéticos y el robo de archivos personales.
WhatsApp pudo haber evitado el error
- Un investigador de ciberseguridad detalló el modo en el que operan las múltiples vulnerabilidades de la aplicación, que de ser explotadas podrÃan afectar a los miles de millones de usuarios de la plataforma de diferentes maneras.
Descubiertos por el investigador de PerimeterX Gal Weizman y rastreados como CVE-2019-18426, los defectos residÃan especÃficamente en la aplicación para escritorio. En una publicación de blog de febrero de este año, Weizman reveló que WhatsApp Web era vulnerable a una falla de redireccionamiento abierto potencialmente peligrosa que conducÃa a ataques persistentes de secuencias de comandos entre sitios, que podrÃan haberse desencadenado enviando un mensaje especialmente diseñado a los usuarios de WhatsApp objetivo.
-
En el caso de que una vÃctima desprevenida vea el mensaje malicioso a través del navegador, la falla podrÃa haber permitido a los atacantes ejecutar código arbitrario en el contexto del dominio web de WhatsApp.
Además, la polÃtica de seguridad de contenido mal configurada en el dominio web de WhatsApp también permitió al investigador hacer cargas útiles XSS de cualquier longitud utilizando un iframe de un sitio web independiente controlado por el atacante en Internet.
-
"Si las reglas de CSP estuvieran bien configuradas, la potencia obtenida por este XSS habrÃa sido mucho menor. Ser capaz de eludir la configuración de CSP permite a un atacante robar información valiosa de la vÃctima, hacer cargas útiles externas fácilmente y mucho más", agregó el investigador.
Como se muestra en la captura de pantalla anterior, Weizman demostró el ataque de lectura de archivos remotos a través de la plataforma de mensajerÃa para escritorio al acceder al contenido del archivo de hosts desde la computadora de la vÃctima.
La falla de redireccionamiento abierto también podrÃa haberse utilizado para manipular banners de URL, una vista previa del dominio que WhatsApp muestra a los destinatarios cuando reciben un mensaje que contiene enlaces y engañar a los usuarios para que caigan en ataques de phishing.
Te puede interesar:WhatsApp Web: Ventajas y desventajas de usar la aplicación para PC
WhatsApp Web
Weizman informó de manera responsable estos problemas en WhatsApp Web al equipo de seguridad de Facebook el año pasado, quien luego corrigió las fallas, lanzó una versión actualizada de su aplicación de escritorio y también recompensó a Weizman con 12,500 dólares bajo el programa de recompensas por errores de la compañÃa.
-SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario