Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/12/2011
Vulnerabilitats en WhatsApp
S’han anunciat tres vulnerabilitats en WhatsApp que podrien afectar la integritat i confidencialitat de les dades i missatges dels usuaris d’esta aplicació.
WhatsApp Messenger, o simplement WhatsApp com es coneix comunament, és un client de missatgeria instantània disponible per a múltiples plataformes mòbils com per exemple iOS, Android, BlackBerry OS i Symbian. Permet l’enviament de missatges de text, imatges, àudio i vídeos, encara que la seua característica principal és que no cal crear un nom d’usuari i compartir-lo amb els altres contactes, sinó que utilitza el mateix número de telèfon com ID i busca automàticament en l’agenda altres contactes que utilitzen este programa.
Les vulnerabilitats que han sigut revelades són les següents:
-
És possible canviar l’estat d’un usuari simplement proporcionant el número de telèfon registrat en WhatsApp i el text amb el missatge del nou estat, ja que no es requerix cap autenticació o autorització prèvia a la dita acció.
-
La funció que comprova el codi que s’envia durant el procés de registre d’un nou número de telèfon és vulnerable a atacs de força bruta, la qual cosa podria permetre que un atacant remot registre números de telèfon arbitraris i suplante la identitat d’estos usuaris.
-
El tràfic de dades a través del protocol XMPP de WhatsApp no està xifrat, la qual cosa podria ser aprofitat per un atacant remot per a dur a terme un atac man-in-the-middle, i aconseguir llegir, enviar, rebre, i inclús modificar missatges que estan destinats a una altra persona.
Estes vulnerabilitats no tenen assignat cap identificador CVE.
L’empresa desenrotlladora ha imposat, com a mesura de protecció davant de la segona vulnerabilitat, una limitació de 10 intents per a introduir el codi enviat. No obstant això, no s’ha pronunciat respecte de les altres dos vulnerabilitats.
Més informació:
SEC Consult SA-20111219-1 : Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387