Un total de cuatro fallos de seguridad críticos en la versión para computadoras PC y Mac de la aplicación de mensajería WhatsApp expusieron los dispositivos de los usuarios, a los que un atacante podía acceder a través del envío de un mensaje malicioso.
Las vulnerabilidades, que fueron descubiertas por los investigadores de la compañía de ciberseguridad Perimeter X, se basan en el ‘cross-site scripting‘, un agujero de seguridad que permite a un tercero inyectar código Javascript o similar en una aplicación web.
Un atacante podría tomar ventajas de esta situación y enviar un mensaje malicioso, con apariencia de legítimo, cambiar la URL del enlace e introducir código malicioso Java escondido a través del “cross-site scripting”.
Mediante este accionar, el atacante puede hacerse con acceso a los archivos del sistema de WhatsApp y ejecutar código de forma arbitraria en el dispositivo a través de la aplicación del usuario que reciba el chat malicioso. Este fallo se encuentra presente en algunos navegadores como Safari y en versiones antiguas de Edge.
Tras descubrir estas vulnerabilidades, los investigadores de Perimeter X han informado a Facebook, compañía propietaria de WhatsApp desde 2014, y estos fallos se han solucionado a través de un parche de seguridad en WhatsApp Web para PC y Mac distribuido el pasado 21 de enero.