Te mostramos por qué deberÃas dejar de descargar y almacenar fotos de iMessage, WhatsApp y Android en tu teléfono celular
Cuando recibes un archivo adjunto en un mensaje de texto o WhatsApp, digamos un documento de Word o PDF, es de esperar que estés programado para hacer una serie de preguntas antes de abrir o guardar ese archivo adjunto en su teléfono. ¿Conozco al remitente? ¿Esperaba el archivo? Pero, ¿y si fuera solo una foto, algo divertido o que te llame la atención para guardar o compartir? Puedes ver la imagen dentro de la aplicación de mensajerÃa, puedes ver lo que estás obteniendo, seguramente no hay nada de malo en guardarla en tu álbum de fotos, ¿cierto?-
El caso de Facebook
El hecho es que una imagen maliciosa compartida a través de WhatsApp o WhatsApp Web tiene la misma capacidad de dañar tu dispositivo y robar tus datos que un archivo adjunto malicioso, como tradicionalmente los conocemos. La única diferencia es que es un ataque más sofisticado, lo que lo hace todavÃa más raro. Vimos el último ejemplo de tal amenaza con Facebook confirmando que habÃa corregido una vulnerabilidad de Instagram revelada por los investigadores de Check Point, una que involucraba una imagen elaborada que podrÃa potencialmente secuestrar una cuenta completa, tal vez incluso a costa de los permisos de Instagram para tomar -a través de un teléfono inteligente.
Las imágenes, una ventana de ataques
Facebook disputó la afirmación de Check Point de que la imagen maliciosa que apareció en Instagram podrÃa usarse para apoderarse del teléfono inteligente y acceder a la cámara y al micrófono. Facebook dijo que el peor de los casos serÃa un secuestro de cuenta, lo que parece bastante malo en sà mismo. Y mientras Check Point afirmó que simplemente guardar una imagen en un teléfono desencadenarÃa el ataque, Facebook dijo que un usuario necesitarÃa cargar la imagen en Instagram. Una vez más, se aceptó el hecho de que una imagen se habÃa elaborado como herramienta de ataque. Y ese es el punto aquÃ.
WhatsApp prepara una solución
El ataque POC de Check Point fue que una imagen se enviarÃa a la vÃctima a través de una plataforma popular: iMessage, Android Messages o WhatsApp, y el contenido de la imagen tentarÃa a la vÃctima a guardar la foto en su dispositivo. Es fácil de hacer: la mayorÃa de nosotros lo hacemos todo el tiempo, incluso si solo es para compartir la imagen en una plataforma diferente, en lugar de reenviar el mensaje que hemos recibido.- Ekram Ahmed, de Check Point, dijo que esto deberÃa servir como una advertencia ya que pueden ser un caballo de Troya para que los piratas informáticos invadan su teléfono.
Lo demostramos con Instagram, pero es probable que la vulnerabilidad se pueda encontrar en otras aplicaciones", señaló. Es casi seguro que ese sea el caso: el problema fue con la implementación de una capacidad de análisis de imágenes de código abierto escondida dentro de la aplicación de Instagram. Y esa biblioteca de software de terceros está ampliamente instalada en muchas otras aplicaciones.
Sonatype, que se especializa en ayudar a los desarrolladores a hacer un uso seguro de tales bibliotecas de software de código abierto, me dijo que tales componentes “constituyen el 90% de cualquier aplicación moderna, y no todos los componentes son creados iguales ... Mientras que Check Point reveló este problema responsablemente y Facebook emitió un parche, puede haber miles de otras compañÃas usando una versión vulnerable de [ese] componente".
Si recibieras una imagen maliciosa en una de sus aplicaciones de mensajerÃa o redes sociales, es casi seguro que verla dentro de las aplicaciones no tenga complicaciones. El problema surge cuando se guarda en el álbum en el almacenamiento interno del teléfono o en un disco externo. Vimos esto el año pasado, con WhatsApp y Telegram expuestos a una vulnerabilidad de Android donde las imágenes se guardaban en un disco externo. Dicho esto, a principios de este año, el equipo de Project Zero de Google advirtió que el manejo de imágenes por parte de los propios mensajeros en iOS podrÃa verse frustrado cuando se manejara un tipo de archivo inusual.
- Pero los problemas con las aplicaciones principales se pueden solucionar, y si se apega a las aplicaciones de mensajerÃa a gran escala y de redes sociales, entonces abordarán las vulnerabilidades de manejo de imágenes una vez reveladas. En pocas palabras, esos problemas están con las aplicaciones y no con las imágenes, confÃa en que la aplicación manejará de forma segura cualquier contenido que muestre. Una vez que mueva una imagen desde fuera de esta caja de arena, por asà decirlo, a su propio dispositivo, el riesgo cambia. Sin embargo, lo que las aplicaciones no harán es enviar imágenes limpias a través de sus aplicaciones para eliminar las amenazas en caso de que guarde esas imágenes en el propio dispositivo. Las aplicaciones de redes sociales eliminan metadatos, como la ubicación donde se tomó la foto, y comprimen el tamaño de la imagen pero no detectan amenazas creadas en la estructura de la imagen en sÃ. Las aplicaciones de mensajerÃa SMS ni siquiera comprimen o eliminan los metadatos de forma predeterminada.
descargar
constituyen el 90% de cualquier aplicación moderna, y no todos los componentes son creados iguales ... Mientras que Check Point reveló este problema responsablemente y Facebook emitió un parche, puede haber miles de otras compañÃas usando una versión vulnerable de [ese] componente
La facilidad con la que se puede propagar una vulnerabilidad se destacó en mayo, cuando una imagen compartida en las redes sociales bloqueó ciertos dispositivos Android si se configuraba como fondo de pantalla de inicio. El problema estaba en la forma en que la imagen manejaba sus colores e interactuaba con el código relevante en el dispositivo Android. Nuevamente, no hay forma de que tales problemas sean detectados por las aplicaciones de mensajerÃa o redes sociales utilizadas para compartir viralmente tales amenazas. No hubo intenciones maliciosas con esa imagen en particular, pero le dice cuán poderosa puede ser una imagen diseñada. “Este tipo de ataques generalmente los llevan a cabo actores del estado-nación o equivalentes”, me dijo el jefe de investigación cibernética de Check Point, Yaniv Balmas.
Las amenazas ciber
No hay comentarios.:
Publicar un comentario