Los piratas informáticos pudieron instalar software de vigilancia de forma remota en teléfonos y otros dispositivos, lo que se confirmó en una gran vulnerabilidad en la aplicación de mensajería WhatsApp.
flickr
WhatsApp, que es propiedad de Facebook, dijo que el ataque estaba dirigido a un «número selecto» de usuarios y fue orquestado por «un ciber-actor avanzado».
Una solución fue lanzada el viernes.
El lunes, WhatsApp instó a todos sus 1.500 millones de usuarios a actualizar sus aplicaciones como una precaución adicional.
El software de vigilancia involucrado fue desarrollado por la firma israelí NSO Group, según un informe publicado en el Financial Times.
Facebook descubrió por primera vez la falla en WhatsApp a principios de mayo.
WhatsApp se promociona a sí mismo como una aplicación de comunicaciones «segura» porque los mensajes se cifran de extremo a extremo, lo que significa que solo deben mostrarse de forma legible en el dispositivo del remitente o del destinatario.
Sin embargo, el software de vigilancia habría permitido a un atacante leer los mensajes en el dispositivo del objetivo.
Algunos usuarios de la aplicación se han preguntado por qué las notas de la tienda de aplicaciones asociadas con la última actualización no son explícitas acerca de la solución.
¿Cómo se usó la falla de seguridad?
Se trataba de atacantes que utilizaban la función de llamada de voz de WhatsApp para llamar al dispositivo de un objetivo.
Incluso si la llamada no fue contestada, el software de vigilancia podría ser instalado. Según el informe de FT, la llamada a menudo desaparecería del registro de llamadas del dispositivo.
WhatsApp le dijo a la BBC que su equipo de seguridad fue el primero en identificar la falla. Compartió esa información con grupos de derechos humanos, proveedores de seguridad seleccionados y el Departamento de Justicia de los Estados Unidos a principios de este mes.
«El ataque tiene todas las características de una empresa privada que, según se informa, trabaja con los gobiernos para entregar software espía que asume las funciones de los sistemas operativos de teléfonos móviles«, dijo la compañía el lunes en una nota informativa para periodistas.
La firma también publicó un aviso para especialistas en seguridad, en el que describió la falla como: «Una vulnerabilidad de desbordamiento de búfer en WhatsApp VOIP [protocolo de voz por internet] permitió la ejecución remota de código a través de una serie de SRTCP especialmente diseñada [protocolo de transporte seguro en tiempo real] para paquetes enviados a un número de teléfono de destino «.
El profesor Alan Woodward de la Universidad de Surrey dijo que era un método de ataque «bastante anticuado».
«En un desbordamiento de búfer, a una aplicación se le asigna más memoria de la que realmente necesita, por lo que le queda espacio en la memoria. Si puede pasar un código a través de la aplicación, puede ejecutar su propio código en esa área«, agregó. explicado.
«En VOIP hay un proceso inicial que marca y establece la llamada y la falla estaba en ese bit. En consecuencia, no era necesario que respondieras a la llamada para que el ataque funcionara«.
¿A quién se ha dirigido?
WhatsApp dijo que era demasiado pronto para saber cuántos usuarios habían sido afectados por la vulnerabilidad, aunque agregó que los ataques sospechosos eran altamente dirigidos.
Según el New York Times, una de las personas atacadas era un abogado con sede en Londres involucrado en una demanda contra el Amnistía Internacional.
Amnistía Internacional, quien dijo que había sido el objetivo de las herramientas creadas por el Grupo de OSN en el pasado, dijo que este ataque era uno que los grupos de derechos humanos durante mucho tiempo habían temido.
«Pueden infectar su teléfono sin que usted tome una acción«, dijo Danna Ingleton, subdirectora de programas de Amnistía Técnica. Dijo que había evidencia creciente de que los regímenes estaban utilizando las herramientas para mantener a activistas y periodistas destacados bajo vigilancia.
«Tiene que haber cierta responsabilidad por esto, no puede seguir siendo una industria secreta del salvaje oeste«.
El martes, un tribunal de Tel Aviv escuchará una petición liderada por Amnistía Internacional que pide al Ministerio de Defensa de Israel que revoque la licencia del Grupo OSN para exportar sus productos.
¿Cuáles son las preguntas sin respuesta?
- ¿Cuántas personas fueron atacadas? WhatsApp dice que es demasiado temprano en su investigación para decir cuántas personas fueron atacadas, o por cuánto tiempo estuvo presente la falla en la aplicación
- ¿La actualización de WhatsApp elimina el spyware? Si bien la actualización corrige la falla que provocó este ataque, WhatsApp no ha dicho si la actualización elimina algún software espía que ya haya infectado un dispositivo comprometido.
- ¿Qué podría hacer el spyware? WhatsApp no ha dicho si el ataque podría extenderse más allá de los confines de WhatsApp, llegar más lejos en un dispositivo y acceder a correos electrónicos, fotos y más.
«El uso de una aplicación como ruta de ataque está limitado en iOS, ya que ejecutan aplicaciones en entornos limitados muy controlados», dijo el profesor Woodward. «Todos asumimos que el ataque fue solo una corrupción de WhatsApp pero el análisis aún está en curso».
«El escenario de la pesadilla sería si pudieras conseguir algo mucho más capaz en el dispositivo sin que el usuario tenga que hacer nada«, dijo.