Un error en WhatsApp y Telegram deja al descubierto tus archivos

Las aplicaciones de mensajería Telegram y Whatsapp están desprotegidas en su versión para Android. Un fallo de seguridad permitiría a los hackers acceder a los archivos de sus usarios, según desvela la empresa de ciberseguridad Symantec.

Este fallo de seguridad, bautizado como «Media File Jacking» (secuestro de archivos multimedia), afecta a la versión oficial para Android de Whatsapp, lo que supone un riesgo para más de mil millones de usuarios de la aplicación propiedad de Facebook. En el caso de Telegram, la empresa de ciberseguridad ha detectado el fallo si se permite que los archivos se guarden en un almacenamiento externo.

Técnicamente, la brecha de seguridad se produce en el lapso de tiempo entre la recepción de archivos multimedia en la aplicación y su escritura en el disco para guardarlos y en el momento en el que se seleccionan archivos para compartir vía app. Este momento es crítico para los hackers para intervenir y manipular sin conocimiento del usuario que los comparte. Un ataque maligno podría acceder a información sensible como fotografías, vídeos, documentos corporativos, facturas, notas de voz, etc. Se establece así una situación en la que alguien podría secuestrar esos archivos para sacar beneficio de su posterior recuperación.

Manipulación de fotografías, facturas o voz

De esta manera, un hacker podría manipular una fotografía, casi en tiempo real y sin conocimiento de la víctima. Es un caso aparentemente inocente pero con consecuencias que podrían ser devastadoras y objeto de extorsión, sobre todo en el caso de una figura pública.

El proceso de Media File Jacking podría también manipular un archivo PDF que contiene una factura para cambiar la cuenta bancaria y el titular de dicha cuenta, de manera que el receptor realiza el pago sin conocimiento de que esta información ha sido adulterada. Con la popularización de Whatsapp, muchas personas dirigen sus negocios con esta aplicación, que tiene incluso una versión para negocios, Whatsapp Business, con los mismos fallos de seguridad.

Con la combinación de tecnologías como el deep voice learning, un posible atacante podría manipular la voz en un mensaje de audio para cambiar el mensaje. Una comunicación entre dirigentes de alto nivel en estos términos podría resultar fatal para la compañía si, por ejemplo, el CEO envía un mensaje a su director financiero ordenando un pago o una operación corporativa y se cambia la información por el camino, como muestra este vídeo creado por la compañía de ciber seguridad que ha encontrado el fallo.

El encriptado no es suficiente

El uso de las aplicaciones de mensajería instantánea se ha generalizado y es común que los hackers busquen maneras de romper el encriptado de mensajes para acceder a material sensible por el que luego recibir una recompensa. La percepción entre el público de que este tipo de apps son inmunes a la manipulación y extracción de contenido contribuyen a que proliferen contenidos sensibles para provecho de los atacantes virtuales.

Desde Symantec insisten en que «ningún código es inmune a vulneraciones de seguridad«. El encriptado de mensajes de punto a punto asegura la integridad de las comunicaciones, pero no es suficiente si existen debilidades a nivel de aplicación. Es en concreto antes o después del encriptado de esa información cuando quedan al descubierto los archivos a enviar.

El equipo que ha investigado este fallo apunta a que es más fácil encontrar una vulneración del sistema si los archivos que se reciben o se cargan en la app son almacenados de manera externa en una tarjeta SD, en lugar de en el almacenamiento interno del smartphone. En concreto, la ruta de acceso por defecto de Whatsapp (/storage/emulated/0/WhatsApp/Media/), permite un acceso con permisos de escritura y lectura global y sin restricciones. En el caso de Telegram, si se cambia la configuración por defecto, que almacena internamente los archivos, se crea una ruta externa (/storage/emulated/0/Telegram/) con las mismas vulnerabilidades.

Tecnología

Add a comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *