Como parte de su política de transparencia, WhatsApp informó una serie de fallas y problemas graves de seguridad que sufrió la aplicación en el último tiempo, que incluyen desde simples errores surgidos en el código de la aplicación hasta ataques malintencionados de hackers a través de mensajes de audio, video o stickers diseñados especialmente. Todos ellos ya fueron solucionados.

A través de su nuevo sitio WhatsApp Security Advisories, el sistema de mensajería permite conocer las vulneraciones que han logrado descubrir y que arreglaron correctamente a través de nuevas actualizaciones: algunas de ellas permitían ejecutar un código malicioso a través del cual los hackers podían obtener el control de la aplicación al enviar mensajes o abrir enlaces en el dispositivo de la persona receptora por medio de los distintos formatos que tiene WhatsApp, como audios, videos, ubicaciones en tiempo real o videollamadas.

Las vulneraciones podrían haber permitido que, sin interacción alguna, quien recibiera un sticker deliberadamente mal diseñado cargara una imagen desde un enlace controlado por la persona que lo envió, o la ejecución de código arbitrario al reproducir un mensaje de voz especialmente diseñado. También detectaron problemas inusuales en un enlace de un mensaje de ubicación en vivo especialmente diseñado, y en una videollamada maliciosa.

Sin embargo, para que estas correcciones surtan efecto, los usuarios deben tener la aplicación actualizada. "Recomendamos encarecidamente a todos los usuarios que se aseguren de mantener actualizado su WhatsApp en sus respectivas tiendas de aplicaciones y que actualicen sus sistemas operativos móviles siempre que haya actualizaciones disponibles", pidieron desde la compañía.

La aplicación de mensajería más utilizada recordó que desde 2016 cuenta con "cifrado de extremo a extremo", que "garantiza que solo usted y la persona con la que se está comunicando puedan leer lo que se envía o escuchar las llamadas, y nadie en el medio, ni siquiera WhatsApp".

También reiteraron: "No almacenamos mensajes privados en nuestros servidores una vez que los entregamos y, para mayor seguridad, proporcionamos verificación en dos pasos para proteger contra el acceso no autorizado a la cuenta. Si pierde el acceso a su cuenta de WhatsApp, los mensajes que recibió anteriormente permanecerán en su teléfono y no estarán disponibles en ningún otro lugar".

 

Los errores que corrigió WhatsApp

En el listado está detallada la versión a partir de la cual está corregido el problema. Para ello, los usuarios deben fijarse si tienen una versión anterior a las expuestas, y siempre mantener actualizada su app a través del Playstore o App Store.

CVE-2020-1894: Un desbordamiento de escritura de pila en WhatsApp para Android antes de v2.20.35, WhatsApp Business para Android antes de v2.20.20, WhatsApp para iPhone antes de v2.20.30 y WhatsApp Business para iPhone antes de v2.20.30 podría haber permitido la ejecución de código arbitrario al reproducir un mensaje de voz especialmente diseñado. CVE-2020-1891: Un parámetro controlado por el usuario utilizado en videollamadas de WhatsApp para Android antes de la v2.20.17, WhatsApp Business para Android antes de la v2.20.7, WhatsApp para iPhone antes de la v2.20.20 y WhatsApp Business para iPhone antes de la v2.20.20 podría haber permitido una escritura fuera de límites en dispositivos de 32 bits. CVE-2020-1890: Un problema de validación de URL en WhatsApp para Android antes de la v2.20.11 y WhatsApp Business para Android antes de la v2.20.2 podría haber provocado que el destinatario de un sticker que contenía datos deliberadamente mal formados cargara una imagen desde una URL controlada por el remitente sin la interacción del usuario. CVE-2020-1889: Un problema de desvío de funciones de seguridad en las versiones de WhatsApp Desktop anteriores a la v0.3.4932 podría haber permitido el escape de la zona de pruebas en Electron y la escalada de privilegios si se combinaba con una vulnerabilidad de ejecución remota de código dentro del proceso de renderización de la zona de pruebas. CVE-2020-1886: Un desbordamiento de buffer en WhatsApp para Android antes de la v2.20.11 y WhatsApp Business para Android antes de la v2.20.2 podría haber permitido una escritura fuera de los límites a través de una transmisión de video especialmente diseñada después de recibir y responder una videollamada maliciosa. CVE-2019-11928: Un problema de validación de entrada en las versiones de WhatsApp Desktop anteriores a la v0.3.4932 podría haber permitido la creación de scripts entre sitios al hacer click en un enlace de un mensaje de ubicación en vivo especialmente diseñado.