El INCIBE (Instituto Nacional de Ciberseguridad) alertó el miércoles del descubrimiento de una vulnerabilidad en la versión 2.19.244 de WhatsApp en Android, que podría permitir a un atacante ejecutar un código arbitrario remoto utilizando una imagen gif manipulada por un tercero. Es un fallo grave que se aloja en una de las librerías encargadas de reproducir imágenes en movimiento que reciben los móviles.
Este fallo también afecta a la galería de imágenes del terminal porque, al abrirse, algunos dispositivos muestran las miniaturas en ejecución.
Por lo tanto, es suficiente con que el atacante envíe una imagen gif con código malicioso a la víctima que, cuando abra la galería desde WhatsApp, el código se ejecute al cargar la vista previa. Una vez instalado este código, el atacante puede tener acceso a toda la información de la víctima, e incluso puede grabar vídeos o audios.
Para atajarla, INCIBE recomienda actualizar la app en versiones posteriores a la 2.19.244. Hay que seguir los siguientes pasos:
- Abrir Play Store o la página oficial de WhatsApp.
- Tocar el icono de ‘Menú’.
- Dirigirse a ‘Mis apps y juegos’.
- Pulsar en ‘actualizar’ al lado de WhatsApp Messenger para descargar la última versión disponible.
Una vez más
A pesar de que WhatsApp asegura a sus usuarios una protección máxima de los contenidos que intercambian, los fallos relacionados con la privacidad son constantes.
El pasado mes de julio, la multinacional Symantec reveló una vulnerabilidad del sistema que permitía a un atacante modificar tanto las imágenes como las grabaciones que eran enviadas antes de que el destinatario las recibiera.
En mayo, la propia compañía pidió a unos 1.500 millones de usuarios actualizar la aplicación a su última versión y su sistema operativo ante la amenaza de un “spyware” que se instalaba en los terminales. Los ciberdelincuentes realizaban una llamada a través de WhatsApp al teléfono que querían hackear y, en muchos casos, esta llamada desaparecía del historial de llamadas del teléfono de forma que, si el usuario no había visto entrar la llamada, no llegaba a sospechar nada.
