Vulnerabilidades en WhatsApp


Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.





WhatsApp Messenger, o simplemente WhatsApp como se conoce comúnmente, es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian. Permite el envío de mensajes de texto, imágenes, audio y videos, aunque su característica principal es que no es necesario crear un nombre de usuario y compartirlo con los demás contactos sino que utiliza el propio número de teléfono como ID y busca automáticamente en la agenda a otros contactos que utilicen este programa.

Las vulnerabilidades que han sido reveladas son las siguientes:

Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.

La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado. Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.

Más información:

SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387

Fuente:

Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Internet puede inmunizarse contra los virus!
Una técnica israelí permitiría reducir las infecciones al 0,001% de la red, basado en una nueva técnica para proteger a los ordenadores de todo el mundo del imparable ataque de los virus. ...
Las chicas publican sus celulares en Facebook sin medir los riesgos
Un 20,3% de las chicas de 13 a 15 años que usan Facebook publica en esa red social su número de celular. El dato surge de un estudio que realizó la Asociación Chicos.net sobre la conducta de los adolescentes (de 13 a 18 años) en Facebook....
Doomjuice.A. La Variante del MyDOOM
Mientras las infecciones producidas por Mydoom.A apenas comienzan a disminuir, un nuevo gusano ha aparecido en escena aprovechándose de los daños producidos por el primero: Doomjuice.A....
¿ Que es DP2PFTP ?.
DP2PFTP (Distributed Peer 2 Peer File Transfer Protocol) es el nombre del nuevo protocolo que dará origen a nuevas redes de intercambio de contenidos....
Facebook estudia cambios en su política de privacidad
La red social de internet Facebook estudia hacer cambios para proteger mejor la vida privada de sus cerca de 300 millones de usuarios, a quienes solicita su opinión sobre la cuestión antes del 5 de noviembre....
¡Que viene Explorer 7, que viene!
Este mes, seguro, y este martes , quizás, tu Explorer va a intentar actualizarse a la versión 7....
Comcast violó las reglas de Internet al bloquear los P2P
En una decisión sin precedentes el jefe del organismo que regula las comunicaciones en Estados Unidos ha recomendado que la mayor operadora de cable del país “sea multada por violar el acceso libre a Internet”. Está demostrado que Comcast bloq...
Gusano aprovecha servidores mal configurados de JBoss AS
Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados....
Seguridad en Software libre: Asunto de Estado
Un nuevo proyecto en los Estados Unidos considera que la seguridad de Linux y el software libre en general es importante para el país por lo que han destinado más de un millón de dólares para descubrir y reportar posibles fallas de seguridad...
Nuevo gusano demuestra la importancia de las actualizaciones del sistema.
ESET advierte sobre la aparición un malware que aprovecha la reciente vulnerabilidad crítica en los sistemas operativos Windows que ya fue corregida por Microsoft....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • whatsapp
  • windows
  • xanadu
  • xfce
  • xombra