WhatsApp ha tardado un mes en arreglar un peligroso bug en las videollamadas
El fallo permitía a un hacker espiar a un usuario durante una videollamada.
Normalmente, cuando sucede un problema de seguridad en un software, la empresa o estudio autor suele salir a la palestra a comunicarlo oficialmente y dar consejos a los usuarios sobre qué hacer. Pero en los niveles que se mueven apps, programas, compañías y redes como WhatsApp, comunicar oficialmente una vulnerabilidad a sus más de mil millones de usuarios puede crear un caos considerable, motivo por el que se suelen anunciar estos casos cuando ya hay solución. O en el caso de la Windows October Update de la semana pasada, cuando el fallo es tan catastrófico que hay que retirarlo de inmediato.
Espiar durante una videollamada
Natalie Silvanovich, una investigadora del equipo de investigación y seguridad Project Zero de Google, descubrió una vulnerabilidad en WhatsApp que permitía a un hacker espiar el smartphone de un usuario mientras este estuviese realizando una videollamada dentro de la app, una de las funciones más usadas de WhatsApp al día. Según Silvanovich, el fallo era “un bug de corrupción de la memoria en la implementación de videollamadas no webRTC”. La vulnerabilidad saltaba cuando “la app móvil de WhatsApp recibe un paquete RTP (protocolo de transporte en tiempo real) de formato incorrecto”, el cual activa el fallo y por tanto permite que un hacker tenga acceso a través de la app.
El propio paquete RTP causante de todo podía ser enviado a través de una petición de llamada. O sea: que este fallo ocurría “al aceptar el usuario de WhatsApp una llamada de una fuente maliciosa“ que le enviaba el paquete al conectar. Lo curioso es que el bug sólo se ha encontrado en las versiones de Android e iOS de WhatsApp, ya que son estas las que usan el protocolo RTP para las videollamadas. La versión WhatsApp Web no ha estado afectada debido a que en PC, WhatsApp utiliza WebRTC para las videoconferencias.
Un mes en ser arreglado
La investigadora se encontró con el problema a finales del pasado mes de agosto y lo reportó de inmediato a WhatsApp, que eliminó el bug y solventado la vulnerabilidad en su actualización del pasado 28 de septiembre para Android y en la del 3 de octubre para iOS. Pero estamos en octubre, lo que significa que ha pasado más de un mes en los que cualquier usuario de WhatsApp que haya usado las videollamadas ha estado expuesto a sufrir el espionaje de su terminal.
Tal y como Tavis Ormandy, otro investigador de Google, colgaba en su Twitter ayer, “esto es cosa seria. Simplemente contestar la llamada de un atacante podría comprometer WhatsApp”. La crisis está solucionada y el error reparado, solo esperemos que la próxima vez no tardemos un mes no en tener un fallo reparado, sino en simplemente saber qué ha sucedido.