Los investigadores de Check Point han revelado una nueva vulnerabilidad en las versiones para navegador de Whats-App y Telegram – WhatsApp Web y Telegram Web – que compromete las cuentas de millones de usuarios.
La explotación de este punto débil permite que los atacantes se hagan con el control completo de las cuentas de las víctimas, y accedan a sus conversaciones personales y de grupo, así como a sus fotos, listas de contactos, vídeos y otros archivos compartidos desde cualquier dispositivo.
«Esta nueva vulnerabilidad pone en riesgo a cientos de millones de usuarios de WhatsApp Web y de Telegram Web», explica Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. «Simplemente enviando una foto aparentemente inofensiva, un ciberdelincuente podría hacerse con el control de sus cuentas, acceder al historial de mensajes, ver y descargar todas las fotos compartidas y enviar mensajes en nombre de la víctima».La vulnerabilidad permite al ciberdelincuente enviar el código malicioso oculto dentro de una imagen de aspecto inofensivo. Tan pronto como el usuario hace clic en ella, abre el acceso completo a los datos almacenados en WhatsApp o Telegram.
Desde Check Point aler-tan en un comunicado de que el ciberdelincuente puede, además, enviar el archivo malicioso a todos los contactos de la víctima, lo que potencialmente permite un ataque a gran escala. Check Point reveló esta información a los equipos de seguridad de WhatsApp y Telegram el pasado 8 de marzo. Ambas empresas han reconocido el problema de seguridad, y han desarrollado una solución para los clientes web en todo el mundo. «Afortunadamente, WhatsApp y Tele-gram han respondido rápidamente para atajar este problema que afectaba a todos sus clientes web», comenta Oded Vanunu.
De cualquier forma, desde la empresa de seguridad recomiendan a los usuarios de WhatsApp Web y Telegram Web que se aseguren de estar utilizando la última versión reiniciando su navegador.
WhatsApp y Telegram usan la encriptación de mensajes de extremo a extremo, una táctica de protección de datos que asegura que solo las personas implicadas en la conversación puedan leer los mensajes. Sin embargo, esta técnica fue el origen de la vulnerabilidad.
Como explican desde Check Point, dado que los mensajes se cifran por parte del emisor, WhatsApp y Telegram no pudieron ver el contenido y, por tanto, no pudieron prevenir que se enviara ‘malware’. Después de corregir esta vulnerabilidad, el contenido ahora se podrá validar antes del cifrado, lo que permitirá bloquear los archivos maliciosos.
Ambas versiones web recogen todos los mensajes enviados y recibidos en la aplicación para móviles, y están totalmente sincroni-zadas con los dispositivos de los usuarios.
Telegram Messenger es un servicio de mensajería por Internet desarrollado desde el año 2013 por los hermanos Nikolai y Pavel Durov. El servicio está enfocado en la gestión de mensajes de texto y multimedia; inicialmente fue empleado para teléfonos móviles y el año siguiente para multi-plataforma. Telegramnota 1 es administrada por una organización sin ánimo de lucro cuya sede opera en Berlín.
El servicio, basado en el protocolo MTProto, soporta documentos, multimedia (incluyendo animaciones gráficas) o archivos de alta duración. Otras características son el alojamiento de contenido (con historial integrado, y la posibilidad de realizar conversaciones consigo mismo), búsqueda de contactos, canales de difusión, supergrupos y alias. También ofrece la plataforma de bots que además de hacer conversaciones inteligentes y pueden realizar otros servicios. Los chats secretos son una característica opcional e implementada en Tele-gram. Establecen una conversación discreta y efímera con mensajes cifrados desde el dispositivo emisor y descifrados solo por el emisor y receptor que tengan la clave una sola vez.
