Las vulnerabilidades de Whatsapp

En las últimas semanas WhatsApp no gana para disgustos. Tras la polémica con su última actualización, en la que muchos usuarios han reportado que la app consume mucha más batería de lo normal, ahora se acaba de descubrir una vulnerabilidad crítica que permite que un hacker pueda robar información personal almacenada en la app con tan sólo enviar un vídeo en formato MP4 malicioso. Veamos cómo te afecta y cómo puedes solucionarlo o, al menos, evitar esta serie de inconvenientes.

Sin batería en sólo dos horas

El problema del consumo de batería apareció documentado en el conocido foro de Internet: Reddit. Un usuario publicó un post en el que alertaba de que su terminal “comenzó a agotarse más rápido de lo habitual” tras instalar la última actualización de WhatsApp, la que permite el desbloqueo por huella digital. No tardaron en llegar más comentarios de usuario en el foro donde se verificaba que algo raro estaba pasando con la aplicación: “Mi teléfono muestra de forma extraña que WhatsApp uso la batería mientras estaba en uso durante una hora y media, algo que no es verdad ya que solo abrí la aplicación durante un minuto”.

De momento se sabe que este fallo afectaría a la última actualización de WhatsApp (2.19.308) en los siguientes teléfonos Android: OnePlus, algunos modelos de Samsung, los Google Pixel y los Xiaomi. Aunque todavía no existe una solución definitiva, te recomendamos no actualizar ninguno de estos terminales a la citada versión. Si ya lo has hecho y notas que tu terminal experimenta un consumo acelerado de batería prueba a instalar y desinstalar la aplicación como posible solución.

Vídeos MP4 maliciosos

Todo se complica si tenemos en cuenta que para la siguiente vulnerabilidad habría que actualizar a la última versión de la aplicación. Según WhatsApp, existe un problema que afecta a versiones antiguas que puede ser utilizada por los ciberdelincuentes para lanzar ataques DoS (denegación del servicio) o RCE (ejecución remota del código).

Este ataque DoS realiza una sobrecarga del sistema para que el dispositivo deje de estar disponible y se pueda acceder a la información personal del usuario. Por su parte, el RCE es un ataque informático que consiste en que el hacker puede hacer que el dispositivo de la víctima pueda ejecutar el código de manera remota, mientras él se encarga de desarrollar su propia programación para conseguir tener un completo acceso al dispositivo.

En este caso, para acceder a los datos de un usuario en cuestión, el hacker tiene que enviarle un archivo MP4 a través de la aplicación. Si se abre, el ciberdelincuente aprovecha la vulnerabilidad de desbordamiento de la pila de búfer para lanzar los ataques DoS o REC y robar la información almacenada en la app. Esta brecha de seguridad se suma a otras descubiertas este año. El mes pasado, por ejemplo, un archivo GIF podía también provocar la instalación de un virus en el móvil.

De momento se han visto afectadas las versiones de Android anteriores a 2.19.274, las de iOS previas a 2.19.100, versiones de Enterprise Client anteriores a 2.25.3, las de Windows Phone anteriores e incluyendo 2.18.368, las de Business para Android previas a 2.19.104, y las de Business para iOS anteriores a 2.19.100.

Si quieres solucionar este problema tendrás que actualizar, pero eso te lleva al problema anterior, por tanto, asegúrate bien de que tu terminal no sea de uno de los modelos afectados antes de hacerlo.