Marcelo Romero: Las vulnerabilidades de WhatsApp

Las vulnerabilidades de WhatsApp

Hoy le quiero compartir que un investigador de seguridad encontró un fallo en la aplicacion ya conocidas por todos como Whatsapp.

Investigador de seguridad Check Point Kasif Dekel recientemente descubierto importantes vulnerabilidades que explotan la lógica Web WhatsApp y permiten a los atacantes engañan a las víctimas en la ejecución de código arbitrario en sus máquinas de una forma nueva y sofisticada. Todo un atacante tenía que hacer para aprovechar esta vulnerabilidad fue enviar a un usuario una vCard aparentemente inocente que contiene código malicioso. Una vez abierto, el presunto contacto se revela como un archivo ejecutable, comprometiendo aún más ordenadores mediante la distribución de bots, ransomware, ratas y otros malwares.

Para dirigirse a un individuo, todos los que necesita un atacante es el número de teléfono asociado a la cuenta.

WhatsApp verificados y reconoció el problema de seguridad y han desplegado el arreglo de los clientes web en todo el mundo. Para asegurarse de que usted está protegido, actualizar su WhatsApp Web ahora.

Check Point compartió su descubrimiento a WhatsApp el 21 de agosto de 2015. El 27 de agosto, WhatsApp lanzó la revisión inicial (en todas las versiones superiores a 0.1.4481) y bloqueó esa característica particular.

Detalles técnicos

WhatsApp Web permite a los usuarios ver cualquier tipo de medios de comunicación o de fijación que se pueden enviar o vieron por la plataforma / aplicación móvil. Esto incluye imágenes, videos, archivos de audio, los lugares y las tarjetas de contacto.

La vulnerabilidad reside en el filtrado incorrecto de tarjetas de contacto, enviado utilizando la conocida 'vCard' formato. Esta es una captura de pantalla para un posible contacto vCard enviado por un usuario malicioso:

Como puede ver, este mensaje (tarjeta de contacto) parece legítimo, como cualquier otra tarjeta de contacto;mayoría de los usuarios, haga clic inmediatamente sin darle un segundo pensamiento.

La consecuencia de esta acción inocente está descargando un archivo que puede ejecutar código arbitrario en la máquina de la víctima:

Un orificio inicial

Durante la investigación de Kasif, descubrió que mediante la interceptación y la elaboración de las solicitudes de XMPP a los servidores de WhatsApp de forma manual, era posible controlar la extensión de archivo del archivo de tarjeta de contacto.

La primera vez que cambia la extensión del archivo a .BAT, lo que indica un archivo por lotes de Windows (script ejecutable):

Esto significa, una vez que la víctima hace clic en el archivo descargado (que asume es una tarjeta de contacto), el código dentro del archivo por lotes se ejecuta en su computadora.

Vamos a ver lo que hay dentro del archivo descargado (es decir, el archivo por lotes):

Este es un formato vCard estándar. Para ejecutar código malicioso, Kasif descubrió que un atacante podría simplemente inyectar un comando para el atributo de nombre del archivo vCard, separados por el 'y'carácter. Cuando se ejecuta, Windows intentará ejecutar todas las líneas en los archivos, incluyendo nuestra línea de inyección controlada.

La investigación adicional demostró que no se necesita ninguna intercepción XMPP de elaboración de este ataque, ya que cualquier usuario puede crear un contacto, con una carga útil inyectada en sus teléfonos, no hay herramientas de hacking necesario:

Una vez que se crea un contacto tal, todo un atacante tiene que hacer es compartirlo a través del cliente normal de WhatsApp.

Pero podemos llevarlo al siguiente nivel? Podríamos posiblemente descubrimos una forma de compartir PE malicioso (.exe) a través de características compartidos por defecto de WhatsApp (no hay enlaces externos)?

Para responder a eso, tenemos que examinar los protocolos de comunicación de WhatsApp; WhatsApp utiliza una versión personalizada de la Mensajería Extensible estándar abierto y Presence Protocol (XMPP).

Así es como los mensajes vCard aparece sobre el alambre (con un poco de reconstrucción) cuando se envían utilizando el protocolo de WhatsApp:

NÚMERO / GROUPID: de la víctima número o ID de grupo
Identificación: el mensaje ID
TIMESTAMP: la fecha y hora del dispositivo emisor
NOMBRE DE ARCHIVO: el nombre del archivo vCard, <algo> .exe
FILEDATA: los datos en bruto del archivo

Nos sorprendimos al encontrar que WhatsApp no realiza ninguna validación en el formato vCard o el contenido del archivo, y de hecho cuando nos hacen a mano un archivo exe en esta solicitud, el cliente web WhatsApp felizmente vamos a bajar el archivo PE en todo su esplendor :

Pero espere, hay más! Clever atacantes pueden explotar esto en escenarios más tortuosos, utilizando el icono que aparece a enriquecer la estafa:

Este sencillo truco abrió un vasto mundo de oportunidades para los cibercriminales y estafadores, en efecto, que permite un fácil "WhatsApp Phishing". La explotación masiva de esta vulnerabilidad podría haber afectado a millones de usuarios, sin darse cuenta de la naturaleza maliciosa de los datos adjuntos.

Cronología de Divulgación

21 de agosto 2015 - La vulnerabilidad revelada al equipo de seguridad de WhatsApp.
23 de agosto 2015 - Primera respuesta recibida.
27 de agosto 2015 - WhatsApp lanza clientes web fijos (v0.1.4481)
08 de septiembre 2015 - La divulgación pública

Conclusiones

"Afortunadamente, WhatsApp respondió rápidamente y con responsabilidad para implementar una mitigación inicial contra la explotación de este tema en todos los clientes web, en espera de una actualización del cliente de WhatsApp", dijo Oded Vanunu, Gerente de Seguridad de Grupo de Investigación de Check Point. Aplaudimos WhatsApp para tales respuestas adecuadas, y deseamos más vendedores se ocuparía de los problemas de seguridad de esta manera profesional. Los proveedores de software y proveedores de servicios deben ser garantizados y actúan de acuerdo con las mejores prácticas de seguridad.

Check Point continúa siendo en la búsqueda de vulnerabilidades en software e Internet plataformas comunes, revelando problemas a medida que se descubren, proteger a los consumidores y clientes contra las amenazas del mañana ".

Fuente: http://blog.checkpoint.com

Como hemos visto todavía nos falta mucho sobre la seguridad en algunas aplicaciones, y sobre todo una como esta que tiene a tantos millones de personas a su disposición.

Etiquetas

Informática Eventos Curiosidades Humor Google Comics Fingerprinting Privacidad No Lusers Spectra Internet Malware Linux Metadatos FOCA pentesting Eleven Paths Apple Reto Hacking Android Iphone informática forense, informática, computadora, detective, ciber, cibercrimen, policía, ciberespacio, ciencias forenses. tecnologías, romero marcelo, marcelo, romero, ruben, superintendencia delitos complejos y crimen organizado, crimen, red, facebook, blog, blogger, spy, boot, mlaware, virus, antivirus, ayuda, help, web, like, me gusta, estafas, delincuente, phisshing, phishing, aplicacion, Hacking Seguridad Internet Explorer Facebook SQL Injection Identidad Latch Windows Vista Libros Windows Server Windows Análisis Forense auditoría e-mail Blind SQL Injection IE IE9 Estafas mitm Spam hardening Windows 7 XSS Cálico Electrónico hackers Apache BING Firefox ciberespionaje GPRS Herramientas Cursos Seguridad Física Software Libre iOS IIS WhatsApp Entrevistas Mac OS X PCWorld WiFi Open Source Oracle Microsoft SQL Server Citrix Windows XP Técnicoless Ubuntu Wireless blogs 0xWord Técnico-less ipad Office fraude PHP Shodan DNS IPv6 OOXML Troyanos hacked spoofing e-crime redes twitter Google Chrome Terminal Services Windows 8 bug Blind LDAP Injection Cracking Criptografía LDAP LDAP Injection .NET Phishing ciberguerra metadata ODF Cómics Google Play Java Gmail MetaShield Protector MySQL Universidad anonimato e-goverment fraude online fuga de datos Chrome conferencias ssl Excel Mac PDF SMS javascript Botnets Calendario_Torrido Hijacking footprinting TOR metasploit Cifrado Cloud computing Evil Foca LOPD MS SQL Server adware Firewall Talentum Dust Twitel Webmails bugs documentación exploiting Juegos Telefónica Windows TI Magazine cibercrimen Exchange Server Faast antimalware BlackSEO OpenOffice Yahoo hacktivismo wikileaks GSM Música RSS SEO APT Debian Hotmail OSINT Tacyt VPN Wordpress iPv4 legislación Active Directory P2P Path 5 Voip XBOX smartphone 3G ENS GPS Proxy Sun exploit tuenti 0day CSPP Deep Web Hastalrabo de tontos Momentus Ridiculous Sun Solaris Fugas de Datos IBM Messenger Mozilla Firefox Bitcoins Botnet D.O.S. IE9 Python SQLi Websticia webcam biometría ciberseguridad fortificación https 2FA DEFCON Firma Digital Forefront Joomla RedHat reversing troyano David Hasselhoff Forensic Foca Informática64 Opera PGP PowerShell Safari exploits sniffers Apple Safari Connection String Parameter Pollution DNIe IE7 OS X RDP Sharepoint Visual Studio Windows Mobile ingeniería social Blind XPath Injection BlueTooth CSRF Lion Metashield OTP Rootkits Ruby SQLite Skype Telegram UAC Windows Phone jailbreak programación .NET spyware Adobe Buffer Overflow DMZ FTP HTTP ICA Youtube ciberspionaje dibujos esteganografía foolish html5 radio Amazon BOFH BSQLi BlackBerry NFC PPTP RFI Recover Messages SIM SSH Steganografía UMTS Windows Server 2008 Windows Server 2012 censura dkim hardware microhistorias ransomware Adobe Flash C Cisco Clickjacking Google Authenticator HTML Kioskos Interactivos LFI Linkedin MetaShield Client Microsoft Office Music Novell OpenSSL SLAAC Sinfonier SmartTV USB Wayra anonymous apps bootkits ciberterrorismo doxing fugas de información iWork scada 0days Dropbox Grooming IAG IDS JSP PLCs Porno RSA SPF Samsung Siri Tempest TrueCrypt Virus chat defacement delitos eGarante pentesting continuo programación 4G AMSTRAD ASP Access Acens Applet Bash Cagadas Certificate Pinning DLP DeepWeb Google Glass Hackin9 IE8 Instagram Lasso MSDOS Maltego MetaShield Forensics Microsoft Word Mobile Connect Moodle Multimedia SNMP SealSign Seguridad Sony Steve Jobs Virtualización Windows 8.1 Xpath injection antivirus blog carding cookies javascipt kali nmap pentesting by desing wardriving 2G ASM App Store Bitlocker BlackASO Blogger CMS Coldfusion Creepware Fake AV Fedora Gentoo Gtalk HOLS HPP Hosting Hyper-V IE Intel LTE MVP Metashield Analyzer NTP PKI Perl RFID Robtex Ruby on Rails SS7 Secure Boot SmartID Snapchat Steve Wozniak Suse System Center TCP/IP TLS VMWare WAF Windows 95 XML ciberdefensa control parental cso domótica e-health evilgrade formación iMessage kernel ladrones legalidad nginx número de teléfono pentesting persistente switching vulnerabilidades AFP Apolo Asterisk Bill Gates Burp C# Captchas Click-Fraud Cpanel DDOS DNIe 3.0 DRM DoS Drupal EXIF Ebay Espías Evernote Google+ Growth hacking HoneyPot ISV Magazine IoT JBOSS Kerberos Line Live Lockpicking Longhorn Maps MetaShield Forenscis Microsoft IIS NAP Nokia Outlook PCI POP3 Patchs Poker Raspberry Pi Reactos Rogue AV RoundCube SDL SenderID Squirrelmail Surface UNIX Windows 10 Windows CE actualizaciones big data certificados digitales ciberguera cyberbullying código penal defacers estegoanálisis fútbol iCloud man in the middle patentes pederastas pharming redes sociales sexting smartcards smartcities AES AJAX AS/400 Acer AirOS Alan Turing Apache Storm Azure BASIC Badoo BarrelFish BuscanHackers CCTV COBOL Canon ChatON Cortana DHCP Django DreamWeaver FileVault Firefox OS Flash Fortran FreeBSD GSMA Google Adwords Google Car Google Drive Google Now Guadalinex HPC HTML 5 Hotmail. Google Huawei Hyperboria IBERIA IMAP ISO ITIL Inteco JQuery JetSetMe Kaspersky Katana Keylogger Kindle LDA Injection Lenguaje D Liferay Liniux Londres Lumia MD5 MDM MIME MMS MacBook Magento MetaShield for IIS MetaShield for SharePoint Metro Minecraft Movistar Mozilla NetBus No Lusres ONO OSPF OWIN Office365 Omron Open X-Ghange Open-XChange OpenNebula OpenWRT Orange OwnCloud Patch 5 Path Transversal Play framework PrestaShop RFU RIP Revover Messages Rogue AP S/MIME SAP SIEM SIGINT SQL Injeciton SSOO SSRF SVG SWF SandaS Singularity Smart City SmartGrid Snort Solaris Spartan Spotbros Steve Ballmer SugarCRM TMG TPM Tinder TomCat Twombola UIP VENOM VNC WAMP Wacom WebShell Webmails IE Windoes 7 Windos 8 Windows Phone 7 Windows Server 8 Windows live Word XSPA ZigBee auditoria cheater chromium cjdns coches craking curso deception decompilador ePad futbolín iOS 8 iPhone 6 mediawiki pedofília pentesting persistentes penteting podcasts poodle programación. .NET ransomsware rumor scratch sederecho informático datos personalesdelitos informáticos conciencia digital legal charlas responsabilidad en el uso de tecnologias cloud computingseguridad informática exposición hackingprivacidad entrevista escuelasinvestigación Red El Derecho Informáticohabeas data UNL Congreso google phishingredes sociales JAIIO artículo empresas propiedad intelectual televisión jornadas control laboralDNPDP nube beca firma digital latinoamérica revistaseminario universidad emprendedores mail prueba digital videoconferenciaguridad informáitca smartphones socket solidaridad tabnabbing unlock veeam winsocket

Marcelo Romero

Las vulnerabilidades de WhatsApp

Seguime en facebook y compartí el Blog

Acerca de mí

De que se esta hablando

Archivo del Blog

Contador de Skynet

Taller de Reconstrucción Virtual

Ministerio Publico Fiscal Ciudad Autónoma de Buenos Aires

Asociación Argentina de Lucha Contra el Cibercrimen

Etiquetas