Facebook, dueño de WhatsApp, abordó dos vulnerabilidades de seguridad en su aplicación de mensajería para Android que podrían haber sido explotadas para ejecutar código malicioso remotamente en el dispositivo e inclusive filtrar información sensible.
Las fallas apuntaron a dispositivos con versiones de Android hasta la versión 9 llevando a cabo lo que se conoce como ataque "man-in-the-disk" (Hombre en el disco, por su traducción al castellano) que permite a los atacantes comprometer la aplicación manipulando ciertos datos que son intercambiados entre el dispositivo y el almacenamiento externo.
"Las dos vulnerabilidades citadas habrían permitido a los atacantes recolectar remotamente material criptográfico TLS para sesiones TLS 1.3 y TLS 1.2", mencionaron investigadores de laboratorios Census.
"Con los secrets TLS a la mano, demostraremos cómo un ataque de man-in-the-middle (hombre en el medio, por su traducción al castellano) puede llevar a comprometer la comunicación de WhatsApp para la ejecución remota de código en el dispositivo de la víctima y a la extracción de las llaves del Noise protocol (Protocolo de Ruido, por su traducción al castellano), utilizadas para la encriptación End-to-End (Extremo a Extremo, por su traducción al castellano), en la comunicación del usuario"
En particular, la falla (CVE-2021-24027) aprovecha el soporte de Google Chrome para proveedores de contenido en Android (vía el esquema de dirección URL "content://" ) y una política de "bypass" (evasión, por su traducción al castellano), de same-origin en el navegador (CVE-2020-6516), de este modo se permite que un atacante envíe un archivo HTML diseñado, a través de WhatsApp hacia una víctima, el cual, al abrirlo en el navegador, ejecuta el código contenido en el archivo HTML.
Aún peor, el código malicioso puede ser usado para acceder a cualquier recurso almacenado en el área desprotegida del almacenamiento externo, incluyendo aquellos de WhatsApp que fueron encontrados al guardar los detalles de la llave de sesión TLS en un subdirectorio, entre otros, y que como un resultado, exponen información sensible a cualquier aplicación que pueda leer o escribir desde el almacenamiento externo.
"Todo lo que tiene que hacer un atacante es atraer a la víctima a abrir el documento HTML adjunto", dijo el investigador de laboratorios Census, Chariton Karamitas. "WhatsApp renderizará el HTML adjunto en Chrome, a través de un proveedor de contenido, y el código JavaScript de un atacante será capaz de robar las llaves de sesión TLS almacenadas".
Equipado con las llaves, el actor malicioso puede efectuar un ataque man-in-the-middle para lograr la ejecución de código remoto o inclusive filtrar los pares de llaves del protocolo Noise - que son usados para operar un canal encriptado entre el cliente y el servidor para la seguridad de la capa de transporte (los mensajes son encriptados utilizando el protocolo de texto seguro o Signal) - recolectados por la aplicación para propósitos de diagnóstico desencadenando remotamente un error de memoria llena en el dispositivo de la víctima.
Cuando este error es lanzado, el mecanismo de depuración de WhatsApp se activa y carga los pares de llaves codificadas junto con los registros de la aplicación, la información del sistema y otro contenido de la memoria a un servidor dedicado de registros de fallas ("crashlogs.whatsapp.net"). Pero vale la pena señalar que esto solo ocurre en dispositivos que utilizan una nueva versión de la app, y "han transcurrido menos de 10 días desde la fecha de lanzamiento de la versión actual".
Aunque el proceso de depuración esta diseñado para ser invocado para recoletar errores fatales en la aplicación, la idea detrás de la explotación a través de Man-in-the-middle está en causar una excepción programada que forzará la recolección de datos y activar la carga solamente para interceptar la conexión y "revelar toda la información sensible que fue tratada de ser enviada a la infraestructura interna de WhatsApp".
Para defenderse de tales ataques, Google introdujo una característica denominada "almacenamiento con alcance" en Android 10, que brinda, a cada aplicación, un espacio de almacenamiento aislado en el dispositivo de manera que ninguna aplicación instalada en el mismo dispositivo pueda acceder directamente a los datos almacenados por otras aplicaciones.
La firma de ciberseguridad afirmó que no tiene conocimiento si los ataques han sido explotados en la naturaleza, aunque en el pasado, las fallas en WhatsApp han sido abusadas para inyectar software espía en los dispositivos objetivo y espiar a periodistas y activistas de derechos humanos.
Se recomienda que los usuarios de WhatsApp actualicen a la versión 2.21.4.18 para mitigar el riesgo asociado con las fallas citadas. Cuando se obtuvo una respuesta, la compañía reiteró que las "llaves" que son usadas para proteger los mensajes de las personas no son cargadas a los servidores y que los registros de la información de error no tienen permitido acceder al contenido de los mensajes.
"Regularmente trabajamos con investigadores de seguridad para mejorar las numerosas formas en que WhatsApp protege los mensajes de las personas", dijo un portavoz a The Hacker News. "Apreciamos la información que estos investigadores compartieron con nosotros, que ya nos ha ayudado a realizar mejoras a WhatsApp en caso de que un usuario de Android haya visitado un sitio web malicioso en Chrome. Para ser claros: la encriptación de Extremo-a-Extremo continua para funcionar como fue destinada y mantener seguros los mensajes de las personas"
"Hay muchos mas subsistemas en WhatsApp que pueden ser de gran interés para los atacantes", dijo Karamitas. "La comunicación con servidores de carga y la encriptación E2E (Extremo-a-Extremo) son dos puntos notables. Adicionalmente, a pesar del hecho que este trabajo esté enfocado en WhatsApp, otras aplicaciones populares de mensajería en Android (por ejemplo: Viber, Facebook Messenger), o inclusive juegos podrían estar exponiendo involuntariamente una superficie de ataque similar para adversarios remotos"