Grave vulnerabilidad WhatsApp Desktop (Web) permitía acceder ficheros víctima

La grave vulnerabilidad, con código CVE-2019-18426, ha sido descubierta por el investigador de la empresa PerimeterX llamado Gal Weizman, y afectan en concreto a WhatsApp Web, por lo que también afecta a la aplicación de WhatsApp para PC pues está basada en el mismo sistema.  Persistent-XSS y CSP-bypass permiten leer sistema de archivos local en Windows y Mac. El fallo de seguridad de WhatsApp Web se basa principalmente en una mala configuración por defecto de las políticas de seguridad de contenido (CSP) de WhatsApp.

El ataque se aprovecha de un fallo de redireccionamiento abierto que permitía ejecutar un ataque XSS (cross-site scripting) con persistencia. Para llevar a cabo el ataque, tan sólo era necesario crear un mensaje modificado dirigido hacia los usuarios de WhatsApp, donde además escondía el texto en la parte final para que hiciera falta pulsar en el “Leer más” para verlo.

• https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/

La vulnerabilidad afectaba a las versiones de escritorio de WhatsApp de sistemas Windows y macOS anteriores a la v0.3.9309 que estuvieran emparejadas con versiones de WhatsApp para iPhone anteriores a la 2.20.10.

Se ha asignado el código CVE-2019-18426 y la puntuación base de 8.2 a esta vulnerabilidad, ya que, aunque podía ser explotada de forma remota, era necesario que la víctima hiciese ‘click’ en la previsualización del enlace contenido en el mensaje malicioso.

El fallo ha sido descubierto por el investigador Gal Weizman, del equipo de PerimeterX. Profundizando una brecha en la política de seguridad del contenido (CSP), Weizman pudo realizar un ataque XSS que le permitió acceder al sistema local de archivos de máquinas Windows o macOS:

alert(navigator.userAgent);
(async function(){
    // read "file:///C:/Windows/System32/drivers/etc/hosts" content
    const r = await fetch('file:///C:/Windows/System32/drivers/etc/hosts);
    const t = await r.text();
    alert(t)
}())

El fallo fue reportado a finales de 2019 a Facebook, que ha pagado 12.500 dólares a Weizman por encontrar el fallo. Ahora, Facebook ha confirmado que ha arreglado el fallo desde el 21 de enero en versiones posteriores a WhatsApp Desktop de 0.3.9309.

La vulnerabilidad también permitía modificar la previsualización de las URL que recibe el usuario en un mensaje para intentar engañarle haciéndole creer que está visitando una web, pero en realidad está accediendo a otra. Con ello, se podían llevar a cabo ataques de phishing adicionales.

• Pavel Durov, fundador de Telegram, hace duras acusaciones a WhatsApp  

La acusación más grande, hecha por Durov, es que WhatsApp, cuando descubren sus puertas traseras, las disfraza como vulnerabilidades. Conocidas en inglés como backdoor se tratan de métodos de acceder a un sistema evitando su seguridad.

• https://telegra.ph/Why-Using-WhatsApp-Is-Dangerous-01-30-4

Fuentes:
https://www.adslzone.net/2020/02/05/fallo-whatsapp-robar-archivos/
https://unaaldia.hispasec.com/2020/02/fallo-en-la-version-de-escritorio-de-whatsapp-permitia-acceder-al-sistema-de-archivos-del-dispositivo.html