Un refran dice: “Una imagen vale más que mil palabras”, pero un GIF animado vale más que mil imágenes.
Hoy en día, los clips cortos de bucle, en formato GIF está en todas partes: en las redes sociales, en los foros, en los chats, ayudando a los usuarios a expresar perfectamente sus emociones, haciendo reír a las personas y haciendo énfasis en algún mensaje.
Pero, ¿qué sucedería si un saludo con un GIF animado de aspecto inocente con un mensaje de Buenos días, Feliz cumpleaños o Feliz Navidad hackea tu smartphone?
Bueno, ya no es una idea teórica. Es ahora una realidad.
WhatsApp ha parcheado recientemente una vulnerabilidad de seguridad crítica en su aplicación para Android, que permaneció sin parchear durante al menos 3 meses después de ser descubierta y si se era explotaba exitosamente, podría haber permitido que los ciberdelincuentes comprometer los dispositivos Android y potencialmente robar archivos y mensajes de chat.
La vulnerabilidad, ha recibido el código CVE-2019-11932 y es un error de corrupción de memoria doble-libre que en realidad no reside en el código de WhatsApp, sino en una biblioteca de análisis de imágenes GIF de código abierto que utiliza WhatsApp.
Descubierto por el investigador de seguridad vietnamita Pham Hong Nhat en mayo de este año. El problema permite si se explota con éxito a los ciberdelincuentes la ejecución remota de código en el contexto de WhatsApp con los permisos que la aplicación tiene en el dispositivo.
Según declaraciones del investigador al portal de noticias The Hacker News:
“La carga útil se ejecuta en el contexto de WhatsApp. Por lo tanto, tiene el permiso para leer la tarjeta SD y acceder a la base de datos de mensajes de WhatsApp.
El código malicioso tendrá todos los permisos que tiene WhatsApp, incluida la grabación de audio, el acceso a la cámara, el acceso al sistema de archivos, así como el almacenamiento sandbox de WhatsApp que incluye una base de datos de chat protegida, etc.”
¿Cómo funciona la vulnerabilidad de WhatsApp RCE?
WhatsApp utiliza la biblioteca de análisis en cuestión para generar una vista previa de los archivos GIF cuando los usuarios abren la galería de su dispositivo antes de enviar cualquier archivo multimedia a sus amigos o familiares.
Por lo tanto, debe tenerse en cuenta que la vulnerabilidad no se activa al enviar un archivo GIF malicioso a una víctima; en su lugar, se ejecuta cuando la propia víctima simplemente abre el Selector de Galería de WhatsApp mientras intenta enviar cualquier archivo multimedia a alguien.
Para explotar este problema, todo lo que un atacante debe hacer es enviar un archivo GIF malicioso especialmente diseñado a un usuario Android que será el objetivo del ataque a través de cualquier canal de comunicación en línea y esperar a que el usuario simplemente abra la galería de imágenes en WhatsApp.
Sin embargo, si los atacantes desean enviar el archivo GIF a las víctimas a través de cualquier plataforma de mensajería como WhatsApp o Messenger, deben enviarlo como un archivo de documento en lugar de archivos adjuntos de medios, porque la compresión de imágenes utilizada por estos servicios distorsiona la carga maliciosa oculta en las imágenes .
Como se muestra en una demostración en video de un prueba de concepto que el investigado ha subido a Youtube, la vulnerabilidad también se puede explotar para simplemente abrir un shell inverso de forma remota desde el dispositivo comprometido.
Aplicaciones, dispositivos y parches disponibles vulnerables.
El problema afecta a las versiones 2.19.230 de WhatsApp y versiones anteriores que se ejecutan en Android 8.1 y 9.0, pero no funciona para Android 8.0 y versiones posteriores.
Según el investigador en las versiones anteriores de Android, el doble-libre todavía podía activarse. Sin embargo, debido a las llamadas malloc del sistema después del doble-libre, la aplicación simplemente falla antes de llegar al punto en el que podríamos controlar el registro del Contador de Programa.
Nhat ha dicho que informó de la vulnerabilidad a Facebook, que es el propietario de WhatsApp, a fines de julio de este año y que la compañía incluyó un parche de seguridad en WhatsApp versión 2.19.244, lanzado en septiembre.
Por lo tanto, para protegerse contra cualquier vulnerabilidad que este relacionada con esta vulnerabilidad, se recomienda actualizar el WhatsApp de su dispositivo Android a la última versión de Google Play Store lo antes posible.
Además de esto, dado que la falla reside en una biblioteca de código abierto, también es posible que otras aplicaciones Android que usen la misma biblioteca estén también afectadas y sean vulnerable a ataques similares.
El desarrollador de la biblioteca GIF afectada, llamada Android GIF Drawable, también ha lanzado la versión 1.2.18 del software para parchear la vulnerabilidad doble-libre.
WhatsApp para iOS no se ve afectado por esta vulnerabilidad. Debido a que no hace uso de la librería que contiene el error.