Aquellos usuarios que usan WhatsApp en iPhone fueron advertidos sobre un riesgo de ataque con un solo clic a principios de este año. Un "fuerte aumento" reportado en los fallos de seguridad de WhatsApp a lo largo de 2019 ha llevado a aconsejar a personajes políticos que se cambiaran al a otra aplicación de mensajería de la competencia, Signal.
Ninguna aplicación es inmune a las vulnerabilidades de seguridad; son una realidad de la vida tecnológica. La forma en que se tratan esas vulnerabilidades es lo importante, por lo que WhatsApp acaba de lanzar un nuevo sitio web de avisos de seguridad. No se trata solo de la rapidez con la que se solucionan los defectos, también es fundamental que exista transparencia con respecto a su existencia. WhatsApp obtiene una victoria en ambos aspectos.
"Realizamos revisiones de seguridad interna y confiamos en sistemas de detección automatizados para identificar y solucionar problemas potenciales de manera proactiva", afirma una entrada del blog de seguridad de WhatsApp, y agrega que también se relaciona con investigadores de seguridad externos a través del programa de recompensas de errores de Facebook. Al anunciar el lanzamiento de la página de avisos de seguridad, la publicación del blog de WhatsApp también declara un compromiso con la transparencia, adelantaron en Forbes España.
Las seis vulnerabilidades de seguridad han sido recientemente enumeradas como "actualizaciones de 2020". La buena noticia es que parece que todas las vulnerabilidades se solucionaron en uno o dos días, la mayoría el mismo día en que se descubrieron. Igualmente de tranquilizador es que no hay evidencia de que alguno haya sido explotado realmente.
Cinco vulnerabilidades De WhatsApp
CVE-2020-1886 fue un problema de desbordamiento del búfer en la aplicación WhatsApp para Android en versiones anteriores a la v2.20.11 que podría activarse al recibir y responder una videollamada maliciosa.
CVE-2020-1889 afectó al usuario del escritorio de WhatsApp antes de v0.3.4932 y fue una escalada de amenaza de privilegios cuando se combinó con una vulnerabilidad de ejecución remota de código para escapar del entorno limitado de seguridad del sistema.
Mira también
CVE-2020-1890 fue otro problema de la aplicación de Android, esta vez provocado por la recepción de un mensaje de etiqueta dañina que podría conducir a una escalada de privilegios una vez más.
CVE-2020-1891 estaba en aplicaciones de Android e iOS e involucró al controlador de videollamadas. Todo lo que se sabe públicamente es que podría afectar la confidencialidad, la integridad y la disponibilidad.
CVE-2020-1894 fue un problema de desbordamiento de pila en aplicaciones de Android e iOS que podría permitir la ejecución de código arbitrario desencadenada por un mensaje push-to-talk dañino.
Autor: Davey Winder
