3 oct 2019

Un GIF para controlarlos a todos: nueva vulnerabilidad RCE en Whatsapp

Una imagen vale más que mil palabras, pero un GIF vale más que mil imágenes. Hoy en día, los cortos clips de bucle, los GIF están en todas partes: en sus redes sociales, en sus tableros de mensajes, en sus chats, ayudando a los usuarios a expresar perfectamente sus emociones, haciendo reír a las personas y reviviendo lo más destacado.

Pero, ¿qué sucede si un saludo GIF de aspecto inocente es capaz de hackerar un teléfono inteligente? Bueno, ya no es una idea teórica.

WhatsApp ha parcheado recientemente una vulnerabilidad de seguridad crítica en su aplicación para Android, que permaneció sin parchear durante al menos 3 meses después de ser descubierta, y si se explotaba, podría haber permitido que atacantes remotos comprometieran los dispositivos Android y potencialmente roben archivos y mensajes de chat.

Vulnerabilidad de ejecución remota de código de WhatsApp

La vulnerabilidad, identificada como CVE-2019-11932, es un error de corrupción de memoria (double-free memory corruption) que en realidad no reside en el código de WhatsApp, sino en una biblioteca de análisis de imágenes GIF de código abierto que utiliza WhatsApp.

Descubierto por el investigador de seguridad vietnamita Pham Hong Nhat en mayo de este año, el problema conduce con éxito a ataques de ejecución remota de código (RCE), lo que permite a los atacantes ejecutar código arbitrario en dispositivos específicos en el contexto de WhatsApp con los permisos que la aplicación tiene en el dispositivo.

"La carga útil se ejecuta en el contexto de WhatsApp. Por lo tanto, tiene el permiso para leer la tarjeta SD y acceder a la base de datos de mensajes de WhatsApp", dijo el investigador. "El código malicioso tendrá todos los permisos que tiene WhatsApp, incluida la grabación de audio, el acceso a la cámara, el acceso al sistema de archivos, así como el almacenamiento sandbox de WhatsApp que incluye una base de datos de chat protegida, etc."

¿Cómo funciona la vulnerabilidad de WhatsApp RCE?

Para explotar este problema, todo lo que un atacante debe hacer es enviar un archivo GIF malicioso especialmente diseñado a un usuario Android objetivo a través de cualquier canal de comunicación en línea y esperar a que el usuario simplemente abra la galería de imágenes en WhatsApp.

El fallo se origina en el código de una librería de código abierto de tratamiento de GIFs. Lo más complejo es la explotación, que entraña conseguir ejecución a partir de una doble liberación de un búfer. No se aprovecha el fallo por enviar un GIF, sino al abrir la galería de WhatsApp y la ejecución heredaría todos los permisos de la aplicación vulnerable.

Sin embargo, si los atacantes desean enviar el archivo GIF a las víctimas a través de cualquier plataforma de mensajería como WhatsApp o Messenger, deben enviarlo como un archivo de documento en lugar de archivos adjuntos de medios, porque la compresión de imágenes utilizada por estos servicios distorsiona la carga maliciosa oculta en las imágenes .
Como se muestra el video de prueba de concepto que el investigador compartió con The Hacker News, la vulnerabilidad también se puede explotarse para abrir una shell inversa de forma remota desde el dispositivo hackeado.

Aplicaciones, dispositivos y parches disponibles vulnerables

El problema afecta a las versiones 2.19.230 de WhatsApp y versiones anteriores que se ejecutan en Android 8.1 y 9.0, pero no funciona para Android 8.0 y versiones anteriores.

WhatsApp utiliza la biblioteca de análisis en cuestión para generar una vista previa de los archivos GIF cuando los usuarios abren la galería de su dispositivo, antes de enviar cualquier archivo multimedia a sus amigos o familiares. Por lo tanto, debe tenerse en cuenta que la vulnerabilidad no se activa al enviar un archivo GIF malicioso a una víctima; en su lugar, se ejecuta cuando la propia víctima simplemente abre la Galería de WhatsApp, mientras intenta enviar cualquier archivo multimedia a alguien.

Nhat dijo que informó la vulnerabilidad a Facebook, propietario de WhatsApp, a fines de julio de este año, y que la compañía incluyó un parche de seguridad en WhatsApp versión 2.19.244, lanzado en septiembre.

Por lo tanto, se recomienda actualizar su WhatsApp a la última versión de Google Play Store lo antes posible. Además de esto, dado que la falla reside en una biblioteca de código abierto, también es posible que cualquier otra aplicación de Android que use la misma biblioteca afectada también pueda ser vulnerable a ataques similares.

El desarrollador de la biblioteca GIF afectada, llamada Android GIF Drawable, también ha lanzado la versión 1.2.18 del software para parchear la vulnerabilidad doblemente libre.

WhatsApp para iOS no se ve afectado por esta vulnerabilidad.

Fuente: THN

Suscríbete a nuestro Boletín

2 comentarios:

  1. "versiones anteriores que se ejecutan en Android 8.1 y 9.0, pero no funciona para Android 8.0 y versiones posteriores." ??? Disculpa, acaso las versiones 8.1 y 9.0 no son posteriores a la 8.0? No entiendo :S

    ResponderBorrar
    Respuestas
    1. >> El problema afecta a las versiones 2.19.230 de WhatsApp y versiones anteriores que se ejecutan en Android 8.1 y 9.0, pero no funciona para Android 8.0 y versiones ANTERIORES.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!