Recientemente abordó Whatsapp dos vulnerabilidades de seguridad en su aplicación de mensajería para Android que podrían haber sido explotadas para ejecutar código malicioso de forma remota en el dispositivo e incluso exfiltrar información confidencial.
Se indica que dichas fallas apuntan a los dispositivos que ejecutan versiones de Android hasta Android 9, incluido, al llevar a cabo lo que se conoce como un ataque de “hombre en el disco” que hace posible que los adversarios comprometan una aplicación mediante la manipulación de ciertos datos que se intercambian entre ella. y el almacenamiento externo.
De acuerdo a lo que se detectado por investigadores de Census Labs las dos vulnerabilidades de WhatsApp mencionadas anteriormente habrían hecho posible que los atacantes recopilaran de forma remota material criptográfico TLS para sesiones TLS 1.3 y TLS 1.2.
Mostraremos con los secretos de TLS a la mano, cómo un ataque man-in-the-middle (MitM) puede llevar al compromiso de las comunicaciones de WhatsApp, a la ejecución remota de código en el dispositivo de la víctima y a la extracción de las claves del protocolo Noise utilizadas para el cifrado de extremo a extremo en las comunicaciones de los usuarios.
La falla (CVE-2021-24027) en particular aprovecha el soporte de Chrome para proveedores de contenido en Android (a través del esquema de URL “content: //”) y una omisión de política del mismo origen en el navegador (CVE-2020-6516), permitiendo así que un atacante envíe un archivo HTML especialmente diseñado a una víctima a través de WhatsApp, que, cuando se abre en el navegador, ejecuta el código contenido en el archivo HTML.
Peor aún, el código malicioso puede usarse para acceder a cualquier recurso almacenado en el área de almacenamiento externo desprotegido, incluidos los de WhatsApp, que se encontró que guardaba los detalles de la clave de la sesión de TLS en un subdirectorio, entre otros, y como resultado, exponía datos sensibles. información a cualquier aplicación que esté aprovisionada para leer o escribir desde el almacenamiento externo.
Se identifico que todo lo que un atacante tiene que hacer es atraer a la víctima para que abra un documento HTML adjunto, WhatsApp procesará este archivo adjunto en Chrome, a través de un proveedor de contenido, y el código Javascript del atacante podrá robar las claves de sesión TLS almacenadas.
Armado con las claves, un mal actor puede realizar un ataque de intermediario para lograr la ejecución remota del código o incluso exfiltrar los pares de claves del protocolo Noise , que se utilizan para operar un canal cifrado entre el cliente y el servidor para la capa de transporte. seguridad (y no los mensajes en sí, que están encriptados usando el protocolo Signal) – recopilados por la aplicación con fines de diagnóstico al desencadenar deliberadamente un error de falta de memoria de forma remota en el dispositivo de la víctima
Cuando se produce este error, el mecanismo de depuración de WhatsApp se activa y carga los pares de claves codificadas junto con los registros de la aplicación, la información del sistema y otro contenido de la memoria a un servidor de registros de fallos dedicado (“crashlogs.whatsapp.net”).
Vale la pena señalar que esto solo ocurre en dispositivos que ejecutan una nueva versión de la aplicación y han transcurrido menos de 10 días desde la fecha de lanzamiento de la versión actual.
Aunque el proceso de depuración está diseñado para ser invocado para detectar errores fatales en la aplicación, la idea detrás del exploit MitM es provocar una excepción mediante programación que forzará la recopilación de datos y activará la carga, solo para interceptar la conexión y revelar toda la información sensible que se pretendía enviar a la infraestructura interna de WhatsApp.
Google, para defenderse de estos ataques, introdujo una función llamada “almacenamiento de alcance” en Android 10, que le da a cada aplicación un área de almacenamiento aislada en el dispositivo de una manera que ninguna otra aplicación instalada en el mismo dispositivo puede acceder directamente a los datos guardados por otras aplicaciones.
La firma de ciberseguridad dijo que no tiene conocimiento de si los ataques han sido explotados en la naturaleza, aunque en el pasado, se ha abusado de las fallas en WhatsApp para inyectar software espía en los dispositivos objetivo y espiar a periodistas y activistas de derechos humanos.
LOS SIGUIENTES PASOS…
Los usuarios de WhatsApp tendrán que actualizar a la versión 2.21.4.18 para mitigar el riesgo asociado con las fallas. Cuando se le solicitó una respuesta, la empresa reiteró que las “claves” que se utilizan para proteger los mensajes de las personas no se están cargando en los servidores y que la información del registro de fallos no le permite acceder al contenido del mensaje.
Se trabaja regularmente con investigadores de seguridad para mejorar las numerosas formas en que Whatsapp protege los mensajes de las personas.
La información que estos investigadores compartieron ha ayudado a realizar las mejoras en Whatsapp en caso de que un usuario de Android visitara un sitio web malicioso en Chrome. Para ser claros: el cifrado de extremo a extremo sigue funcionando según lo previsto y las personas los mensajes permanecen seguros y protegidos.
Existen muchos más subsistemas en WhatsApp que podrían ser de gran interés para un atacante. La comunicación con servidores ascendentes y la implementación de cifrado E2E son dos notables.
Adicional otras aplicaciones populares de mensajería de Android (por ejemplo, Viber, Facebook Messenger) o incluso juegos móviles podrían estar exponiendo involuntariamente una superficie de ataque similar a los adversarios remotos.
Referencia
Lakshmanan, Ravie, Los nuevos errores de WhatsApp podrían haber permitido a los atacantes piratear su teléfono de forma remota, 2021, recuperado: https://thehackernews.com/2021/04/new-whatsapp-bug-couldve-let-attackers.html
