¿Qué pasaría si con solo recibir una videollamada de WhatsApp pudiera hackear tu smartphone?
Esto pudiera parecer algo poco probable, pero la investigadora de seguridad de Google Project Zero, Natalie Silvanovich, encontró una vulnerabilidad crítica en la popular aplicación de mensajeria electrónica, WhatsApp, que podría haber permitido a los ciberdelincuentes tomar el control total de tu cuenta de WhatsApp sólo con una videollamada.
La vulnerabilidad es un problema de desbordamiento de pila de memoria que se activa cuando un usuario recibe un paquete RTP formateado incorrectamente deliberadamente hecho para tal fin. Es por ello que a través de una solicitud de videollamada, se consigue un error de corrupción de pila de memoria y falla la aplicación móvil de WhatsApp.
Dado que la vulnerabilidad afecta la implementación de Whatsapp del protocolo RTP (Protocolo de transporte en tiempo real), la falla afecta a las aplicaciones de Android e iOS, pero no a la Web de WhatsApp que se basa en WebRTC para las videollamadas.
Silvanovich también publicó un exploit de prueba de concepto, junto con las instrucciones para reproducir el ataque de WhatsApp.
Aunque la prueba de concepto publicada por Silvanovich solo provoca daños en la memoria, otro investigador de Google Project Zero, Tavis Ormandy, afirma en un tweet que “Este es un gran problema. El solo hecho de responder una llamada de un atacante podría comprometer completamente a WhatsApp“.
En otras palabras, los hackers solo necesitan su número de teléfono para secuestrar completamente su cuenta de WhatsApp y espiar sus conversaciones secretas.
Silvanovich descubrió e informó de la vulnerabilidad al equipo de WhatsApp en agosto de este año. WhatsApp reconoció y solucionó el problema el 28 de septiembre en su cliente de Android y el 3 de octubre en su cliente de iPhone.
Por lo tanto, si aún no ha actualizado su WhatsApp para Android o WhatsApp para iOS, debería considerar la actualización ahora.
Hace dos meses, los investigadores también descubrieron una falla en la forma en que la aplicación móvil de WhatsApp se conecta con la Web de WhatsApp que permitía a los usuarios malintencionados interceptar y modificar el contenido de los mensajes enviados tanto en conversaciones privadas como grupales.