Vulnerabilidades en WhatsApp


Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.





WhatsApp Messenger, o simplemente WhatsApp como se conoce comúnmente, es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian. Permite el envío de mensajes de texto, imágenes, audio y videos, aunque su característica principal es que no es necesario crear un nombre de usuario y compartirlo con los demás contactos sino que utiliza el propio número de teléfono como ID y busca automáticamente en la agenda a otros contactos que utilicen este programa.

Las vulnerabilidades que han sido reveladas son las siguientes:

Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.

La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado. Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.

Más información:

SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387

Fuente:

Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Recupera tus datos de Windows… con GNU/Linux
Un documento de un experto en recuperación de datos vuelve a demostrar la versatilidad de GNU/Linux, que puede ser utilizado para lograr rescatar la información que creíamos haber perdido en una partición defectuosa de Windows....
Intypedia: Lección 12 - Seguridad en redes Wifi
La Enciclopedia de la Seguridad de la Información (Intypedia) ha publicado la Lección número 12 que lleva por título Seguridad en redes Wi-Fi....
Nuevo fallo en los parches ya revisados de Microsof
Microsoft se ha visto obligada a publicar una tercera versión de los últimos parches de seguridad al detectarse problemas durante algunas instalaciones. Tal y como hemos venido informando en Hispasec, el 15 de octubre Microsoft publi...
RealNetworks publica actualización para RealPlayer
RealNetworks ha anunciado una actualización para corregir once vulnerabilidades en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados....
El riesgo de ciberataques contra los gobiernos es limitado
Un informe sobre ciberseguridad realizado por la OECD ha desvelado que las posibilidades de que los gobiernos reciban un ataque sofisticado a través de internet es pequeño....
Microsoft confirma errores en el parche MS04-039
Microsoft ha confirmado la existencia de errores en la actualización de noviembre de sus parches (MS04-039). Este parche soluciona una vulnerabilidad en Microsoft Proxy Server 2.0 y Microsoft Internet Security and Acceleration (ISA) Server 2000. L...
Primer troyano para MAC que detecta la virtualización
Desde el blog de F-Secure alertan de la aparición del primer troyano para Mac (Mac Trojan Flashback.B Checks for VM) que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado. ...
Linux recibe el apoyo de Google.
Google, el buscador más popular de Internet se ha decantado en favor del sistema operativo Linux durante una conferencia en la reciente LinuxWorld....
PRÓXIMO CURSO DE PHP EN VALENCIA - CARABOBO
Esta pautado a realizarse un nuevo curso básico de PHP, en la ciudad de Valencia, Carabobo los días 7 y 8 de julio. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin d...
El milagro de las 200 líneas de código en Kernel Linux
Interesantísimo el artículo de Phoronix en el que nos explican cómo un pequeño parche de apenas 200 líneas de código podría suponer una mejora crítica en el rendimiento de nuestros sistemas gracias a un dramático incremento de los tiempos de...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • whatsapp
  • windows
  • xanadu
  • xfce
  • xombra