Según leíamos en Hispasec hace unos días (se nos pasó por aquello de las fechas), se han detectado varias vulnerabilidades que afectan a la popular aplicación de mensajería del sistema operativo Android, las cuales pueden comprometer la seguridad del aparato atacado. En concreto son:
1. Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
2. La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
3. El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Solamente se ha facilitado como medida de protección ante el segundo fallo, una limitación de 10 intentos para introducir el códigoque se envía a la hora de realizar el ataque de fuerza bruta, aunque no hay nada al respecto de las otras dos vulnerabilidades. Recordemos que esta aplicación informática se ha hecho muy popular entre todos los usuarios de teléfonos móviles que disponen de Android como su sistema operativo, lo cual multiplica exponencialmente el número de usuarios que pueden verse afectados. Mas informaciónaquí.
