Como se podía controlar un teléfono con una llamada de WhatsApp

19 octubre, 2018
14 Compartido 2,226 Visualizaciones

Google reveló cómo supuestamente un bug en WhatsApp podría haber permitido que realizando una llamada se podría controlar cualquier dispositivo.

La investigadora del Project Zero, Natalie Silvanovich, encontró un desbordamiento del buffer provocado por datos transmitidos como parte del flujo de audio y vídeo durante una llamada. WhatsApp al igual que otras muchas apps, utilizan RTP (Real Time Protocol) para transmitir voz y vídeo.

RTP fue diseñado para ser eficiente, por ejemplo utiliza UDP en vez de TCP por lo que los datos se transmiten más rápido pero de forma menos fiable (no se comprueba si los paquetes UDP llegaron al destino y pueden llegar en un orden distinto, sin embargo los paquetes en TCP se verifican y se envían en el orden el que fueron enviados, lo que significa más tráfico en la red).

Si se pierde algún paquete de datos que una app está descargando, la descarga completa se corromperá y quedará inservible. Si pierdes algunos paquetes de voz, solo tendrás algunos momentos inaudibles en la conversación.

Desafortunadamente, RTP también estruja los datos en un formato de paquetes binarios que necesita ser desmarañado cuidadosamente por el receptor para saber qué tipo de datos, que cantidad y como desenredar lo que recibió.

Fallos y errores de cálculo al extraer un paquete binario (lo que en argot se llama parsing) puede fácilmente suponer que los datos se muevan incorrectamente por la memoria, por ejemplo, al intentar meter 24 bytes en un espacio pensado para 16.

Este tipo de problema se llama desbordamiento del buffer y, si los bytes extra aplastan los datos hasta que se confían a otro lugar en el software, tienes un problema potencial de seguridad.

Las buenas noticias son que se informó responsablemente del incidente a finales de agosto de 2018 y fue solucionado dentro del límite de 90 días que da Google antes de hacerlo público.

La mala noticia es que (y esperamos que solo sea un error tipográfico o que se escogieron mal las palabras) es que Google reveló los detalles antes de los 90 días porque pensó que el parche ya estaba disponible.

En los comentarios sobre los detalles del bug, Silvanovich dice “Este tema se solucionó el 28 de septiembre para el cliente Android y el 3 de octubre para el cliente de iPhone”.

La versión más reciente en Google Play data del 8 de octubre de 2018, mucho después de la fecha que dio Google, pero la versión más reciente del cliente de WhatsApp para iOS es la 2.18.93, del 1 de octubre de 2018.

Por lo que asumimos que los comentarios de Silvanovich significan “supimos el 3 de octubre que el problema estaba solucionado”, pero se pueden interpretar sus palabras  como “cualquier versión anterior al 3 de octubre no estaba parcheada”.

¿Qué hacer?

Sea como fuere, es muy importante que instales este parche, para asegurarte que no hay ningún problema con tu cliente de WhatsApp.

En Android, abre la app de Google Play, presiona el icono de la hamburguesa (tres líneas en la esquina superior izquierda) y busca en la pestaña actualizaciones por nuevas versiones que aún no has instalado.

En iOS, abre la App Store, ve a Actualizaciones en la parte inferior de la pantalla. Si tienes actualizaciones pendientes las verás claramente.

Aconsejamos que lo volváis a comprobar en una semana más o menos, ya que seguramente tendremos otra actualización de WhatsApp, la que seguro que será inmune a este bug, sean cuales sean las palabras de Google.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Fortinet permite la segmentación basada en el propósito con los nuevos firewalls de alto rendimiento FortiGate
Soluciones Seguridad
18 compartido2,483 visualizaciones
Soluciones Seguridad
18 compartido2,483 visualizaciones

Fortinet permite la segmentación basada en el propósito con los nuevos firewalls de alto rendimiento FortiGate

Mónica Gallego - 12 febrero, 2019

Es el primer firewall del mercado que combina la reducción de los costes, de la complejidad y de los riesgos…

Cómo implementar un sistema de teletrabajo seguro de emergencia
Actualidad
8 compartido1,346 visualizaciones
Actualidad
8 compartido1,346 visualizaciones

Cómo implementar un sistema de teletrabajo seguro de emergencia

Aina Pou Rodríguez - 24 marzo, 2020

La implementación de un sistema de teletrabajo requiere que las empresas tomen una serie de precauciones A tenor de los…

DE-CIX Madrid ya está conectado al mayor ecosistema de  interconexión del mundo
Actualidad
10 compartido1,241 visualizaciones
Actualidad
10 compartido1,241 visualizaciones

DE-CIX Madrid ya está conectado al mayor ecosistema de interconexión del mundo

Alicia Burrueco - 20 septiembre, 2019

La compañía ha lanzado su servicio GlobePEER Remote Service en la capital española. DE-CIX ha anunciado la llegada de su…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.