Noticias
Un fallo del WhatsApp de escritorio permitió hackear computadoras con un simple mensaje
Facebook ha emitido un aviso de seguridad por un bug en el WhatsApp de escritorio que permitía a un tercero usar ataques de secuencias de comandos y acceder a los archivos en computadoras MacOS o Windows simplemente mediante un mensaje de texto especialmente diseñado.
El fallo del WhatsApp de escritorio fue descubierto por investigadores de PerimeterX, afectaba a las versiones anteriores a la v0.3.9309 y es el resultado de una debilidad en cómo se implementó la aplicación de mensajería usando el framework de código abierto Electron.
Electron permite a los desarrolladores crear aplicaciones multiplataforma basadas en tecnologías web y de navegador, pero su seguridad depende de los componentes que los desarrolladores implementan con las aplicaciones. En este caso se usó Chrome 69, una versión vulnerable y obsoleta. Las versiones más recientes del motor Chromium ya son capaces de detectar el código malicioso.
Los investigadores de PerimeterX encontraron por primera vez en 2017 vulnerabilidades de secuencias de comandos en el WhatsApp de escritorio, cuando descubrieron que podían alterar los metadatos de los mensajes, crear banners de vista previa falsos para enlaces web y crear URL que pudieran ocultar intenciones hostiles dentro de los mensajes de la aplicación.
A medida que continuaron investigando, descubrieron que podían inyectar código JavaScript en los mensajes que se ejecutaban en el WhatsApp de escritorio para obtener acceso al sistema de archivos locales utilizando la API JavaScript Fetch. «Estamos en 2020. Ninguna aplicación debería permitir una lectura completa del sistema de archivos y potencialmente una ejecución remota de código desde un solo mensaje», explican.
Las versiones de escritorio o web de estas apps móviles «no están tan bien auditadas o bien escritas y, por lo tanto, a menudo están abiertas a ataques», describen. Y la vulnerabilidad era sencilla de explotar, porque únicamente requería que la víctima hiciera clic en la vista previa de un enlace de un mensaje de texto diseñado al efecto. Desde ahí lograba acceso a los archivos de ordenadores Windows y macOS.
El problema afecta al WhatsApp de escritorio versión 0.3.9309 y anteriores, así como a los usuarios que emparejaron la aplicación con las ediciones de iOS de WhatsApp anteriores a las versiones 2.20.10. Se recomienda a los usuarios el uso de versiones más nuevas que no se ven afectadas por el bug.
Google publica la agenda del Google I/O 2024
GIGABYTE lleva Intel Baseline a sus placas base Z790 y B760
El realme C65 llega a España para conquistar la gama de entrada
Liberan MS-DOS 4.0 como código abierto
Nuevos datos dan a conocer el tamaño de la Nintendo Switch 2 y vuelven a situar su lanzamiento para 2024
Blizzard cancela la BlizzCon 2024
10 sitios web para descargar libros electrónicos gratuitos
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
Zilog finaliza la producción de los Z80, un chip mítico
Empiezan los Días Naranjas en PcComponentes, no te pierdas las mejores ofertas
‘Ereban: Shadow Legacy’, juego de sombras
OMEN Transcend 14, análisis: movilidad inteligente
Google publica la agenda del Google I/O 2024
Novedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
Los Snapdragon X debutarán el 24 abril de la mano de Qualcomm
Juegos gratis y ofertas: Town of Salem 2, The Big Con…
Apple acata una orden de China y borra WhatsApp y Threads de la App Store para ese país
AMD prepara una APU Ryzen con una GPU más potente que la de PS5
-
GuíasHace 4 días10 sitios web para descargar libros electrónicos gratuitos
-
A FondoHace 7 díasNovedades VOD 16/24: ‘Rebel Moon’, la película que deja marcas
-
A FondoHace 3 díasZilog finaliza la producción de los Z80, un chip mítico
-
A FondoHace 12 horasEmpiezan los Días Naranjas en PcComponentes, no te pierdas las mejores ofertas