Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/09/2011
Actualización crítica de WhatsApp corrige agujeros de seguridad
La última versión actualizada de la aplicación WhatsApp Messenger para iPhone ha sido liberada en la App Store de Apple. En la nueva versión, el desarrollador ha cerrado varios agujeros de seguridad críticos que permitía suplantar y enviar mensajes haciéndose pasar por cualquier usuario.WhatsApp Messenger es un servicio de mensajería multi-plataforma, disponible para iPhone, BlackBerry, Android y Nokia Symbian60. Como los datos son transmitidos a través de Internet, el uso de WhatsApp no supone necesariamente un coste adicional, dependiendo solamente de la tarifa de datos específica del usuario.
Para hacer el servicio lo más facil de uso posible, los mensajes son enviados basándose en el número de teléfono del subscriptor. Después de la instalación, la aplicación compara los números de teléfono de la agenda de teléfonos del movil con una agenda global almacenada en los servidores de WhatsApp. Si el usuario tiene algún contacto que ya usa WhatsApp, le aparecerán como favoritos y podrá conectarse directamente a través de la aplicación.
Sin embargo, este procedimiento genera algunas dudas sobre la protección de datos, y las recientes vulnerabilidades descubiertas dejan las cosas aún peor. Las comunicaciones entre la aplicación y el back-end del servicio web durante el proceso de registro puede ser manipulado por lo que el número de telefono y su cuenta puede ser suplantada, informa Andreas Kurtz, quien descubrió las vulnerabilidades. Encontró que los mensajes podían ser leidos desde cualquier usuario de WhatsApp y que los mensajes pueden ser enviados suplantando cualquier identidad. Kurtz da los detalles en su blog
La compañía detrás de la aplicación ha comunicado que las demás plataformas soportadas por WhatsApp no son vulnerables puesto que ya se está usando un nuevo mecanismo de registro. La firma dice que el código obsoleto seguía siendo usado en la versión de iPhone porque la aplicación fue inicialmente desarrollada para esa plataforma. Pero los usuarios de otras plataformas también fueron vulnerables debido al fallo de seguridad heredado de la versión de iPhone.
Versiones para iPhone anteriores a 2.6.5
Referencias:None
Solución:Actualizar a la última versión disponible en la App Store
Notas:http://itunes.apple.com/WebObjects/MZStore.woa/wa/viewSoftware?id=310633997
http://www.h-online.com/security/news/item/Update-fixes-critical-security-holes-in-WhatsApp-1339404.html