28 de diciembre de 2011

NUEVAS VULNERABILIDADES EN “WhatsApp”

Se ha informado de tres muevas vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.
  • WhatsApp Messenger ( WhatsApp  ), es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian.
  • La apliación permite el envío de mensajes de texto, imágenes, audio y videos, pudiendo ser compartido con los demás contactos utilizando el propio número de teléfono como ID y buscando automáticamente en la agenda a otros contactos que utilicen este programa.
Detalle de las vulnerabilidades reportadas:
  1. Pueden cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  2. Es vulnerable a ataques de fuerza bruta, la función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  3. No está cifrado el tráfico de datos a través del protocolo XMPP de WhatsApp, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.
Recomendaciones:
  • La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado.
  • Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.
Más información:
SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp
http://seclists.org/fulldisclosure/2011/Dec/387
Fuente: Hispasec