Fallas de seguridad de escritorio de WhatsApp ponen en riesgo a millones de usuarios

Fallas de seguridad de escritorio de WhatsApp ponen en riesgo a millones de usuarios

Según investigaciones recientes, las vulnerabilidades de seguridad descubiertas en el cliente de escritorio de WhatsApp exponen a los usuarios a phishing, malware y ransomware.

El investigador de ciberseguridad de PerimeterX y experto en JavaScript, Gal Weizman, dice que descubrió una falla en la Política de Seguridad de Contenido (CSP) incluida en WhatsApp, que hace posible que los actores maliciosos puedan lanzar ataques de bypass y scripts de sitios cruzados (XSS) en el cliente de escritorio.

Tanto Windows como Mac se ven afectados, y el investigador dice que los ciberdelincuentes podrían obtener permisos de lectura del sistema de archivos local simplemente inyectando códigos o enlaces maliciosos en los mensajes enviados a los usuarios de WhatsApp sin que este contenido sea visible.

Esto es posible después de las modificaciones del código JavaScript realizadas en los mensajes de WhatsApp antes de que se envíen al destino; técnicamente, el investigador dice que las vulnerabilidades permiten que cualquiera pueda inyectar el código malicioso y luego enviar el mensaje modificado sin ningún signo claro de alteración.

Versión antigua de Chrome

Además, explica el investigador, un pirata informático también puede modificar las vistas previas del sitio web que se generan automáticamente al enviar un enlace a alguien en WhatsApp, una vez más para inyectar código que no sería visible cuando se reciba el mensaje.

El cliente de escritorio de WhatsApp se estaba ejecutando en una versión anterior de Chrome: según la investigación, la aplicación se basaba en Chrome 69 en un momento en que la última versión estable del navegador era Chrome 78. Las últimas versiones de Chrome ya incluyen cambios que bloquear tales ataques.

"Las versiones anteriores del marco Chromium de Google Chrome, como las utilizadas por las versiones vulnerables de la aplicación de escritorio WhatsApp, son susceptibles a estas inyecciones de código, aunque las versiones más nuevas de Google Chrome tienen protecciones contra tales modificaciones de JavaScript. Otros navegadores como Safari todavía están abiertos a estas vulnerabilidades ”, señala PerimeterX.

WhatsApp ya resolvió los problemas con un parche dedicado a mediados de diciembre, según la compañía propiedad de Facebook.

Fecha actualización el 2021-02-05. Fecha publicación el 2020-02-05. Categoría: whatsapp Autor: Oscar olg Mapa del sitio Fuente: thewindowsclub. Version movil