Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/09/2011
Actualització crítica de WhatsApp corregix forats de seguretat
L'última versió actualitzada de l'aplicació WhatsApp Messenger per a iPhone ha sigut alliberada en l'App Store d'Apple. En la nova versió, el desenvolupador ha tancat uns quants forats de seguretat crítics que permetia suplantar i enviar missatges fent-se passar per qualsevol usuari.WhatsApp Messenger és un servei de missatgeria multiplataforma, disponible per a iPhone, BlackBerry, Android i Nokia Symbian60. Com les dades són transmeses a través d'Internet, l'ús de WhatsApp no suposa necessàriament un cost addicional, depenent només de la tarifa de dades específiques de l'usuari.
Per a fer el servei el més fàcil d'ús possible, els missatges són enviats basant-se en el número de telèfon del subscriptor. Després de la instal·lació, l'aplicació compara els números de telèfon de l'agenda de telèfons del mòbil amb una agenda global emmagatzemada en els servidors de WhatsApp. Si l'usuari té algun contacte que ja usa WhatsApp, li apareixeran com a favorits i podrà connectar-se directament a través de l'aplicació.
No obstant això, aquest procediment genera alguns dubtes sobre la protecció de dades, i les recents vulnerabilitats descobertes deixen les coses encara pitjor. Les comunicacions entre l'aplicació i el back-end del servei web durant el procés de registre pot ser manipulat pel que el número de telèfon i el seu compte pot ser suplantada, informa Andreas Kurtz, qui va descobrir les vulnerabilitats. Va trobar que els missatges podien ser llegits des de qualsevol usuari de WhatsApp i que els missatges poden ser enviats suplantant qualsevol identitat. Kurtz dóna els detalls en el seu blog.
La companyia després de l'aplicació ha comunicat que les altres plataformes suportades per WhatsApp no són vulnerables ja que ja s'està usant un nou mecanisme de registre. La firma diu que el codi obsolet continuava sent usat en la versió d'iPhone perquè l'aplicació va ser inicialment desenrotllada per a aqueixa plataforma. Però els usuaris d'altres plataformes també van ser vulnerables a causa de la fallada de seguretat heretada de la versió d' iPhone.
Versiones per iPhone anteriors a 2.6.5
Referències:None
Solució:Actualitzar a la última versió en la App Store
Notes:http://itunes.apple.com/WebObjects/MZStore.woa/wa/viewSoftware?id=310633997
http://www.h-online.com/security/news/item/Update-fixes-critical-security-holes-in-WhatsApp-1339404.html