WhatsApp es una de las aplicaciones de mensajería más utilizadas aunque no se trate de la mejor aplicación de mensajería ni de la más segura, ya lo sabemos desde hace mucho. Sin embargo, todo eso no hace que su cuota de usuarios baje lo más mínimo, y por el momento siguen mejorando la aplicación con mejoras como el esperado cifrado de punto a punto.
Sin embargo, la seguridad no termina con el cifrado de punto a punto, porque dos desarrolladores de seguridad indios han descubierto la manera de hacer que un chat de WhatsApp explote y obligar al usuario a borrar toda la conversación para pararlo. Y todo esto con 2000 carácteres que tienen un peso total de 2kb, un peso absurdo para un bug tan potente.
2kb, suficiente para hacer cerrar WhatsApp. Una nueva vulnerabilidad de whatsapp
La exclusiva nos llega de la mano de The Hacker News, quienes han conseguido en exclusiva recibir el fallo de manos de Indrajeet Bhuyan y Saurav Kar, dos desarrolladores indios con la sorprendente edad de 17 años. El caso es que estos adolescentes han conseguido averiguar una manera de hacer que un chat de WhatsApp haga que la propia aplicación tenga que forzar cierre: un mensaje de 2000 palabras y 2kb diseñado para forzar el cierre de la aplicación.
Lo curioso y peligroso del exploit es que, para solucionar el problema, tendremos que borrar por completo el chat: algo que puede aprovechar un atacante para obligarnos a borrar una conversación. Además, se pueden diseñar mensajes para echar a gente de los grupos y para borrar grupos, un exploit que no pasará desapercibido si permanece mucho tiempo sin solucionar. Todas las versiones en Android parecen estar afectadas, mientras que Windows Phone no está afectado e iOS no ha sido probado por el momento.
Por el momento, las soluciones parecen ser sencillas: borrar la conversación entera (haciendo que el atacante consiga su objetivo), que el mensaje se hunda en la conversación y que no sea mostrado (enviando más de 20 mensajes de relleno, algo complicado si ninguno de los dos puede abrir la conversación), o esperar a que WhatsApp actualice la aplicación para que el exploit deje de ser funcional.
Si estáis buscando el código para tocar las narices a vuestros amigos o borrar una conversación comprometedora, no lo busquéis más por aquí, dado que no vamos a darle difusión (aunque sea relativamente sencillo de encontrar). Este código no debería causaros problemas una vez eliminado o en otros chats donde no esté el mensaje, en el caso de que estéis afectados, y en cualquier caso nos tocará esperar a una solución definitiva.
ACTUALIZACIÓN: En la versión 2.11.468 se corrige esta vulnerabilidad de whatsapp. La podéis descargar desde su web oficial o desde Google Play.