¿Cómo rompieron WhatsApp con solo una llamada telefónica?

Un nuevo informe de Financial Times alega que la notoria empresa de espionaje israelí NSO Group desarrolló un exploit de WhatsApp que podría inyectar malware en teléfonos específicos y robarles información simplemente llamándolos. Los objetivos no tenían que ser detectados, y las llamadas a menudo no dejaban rastro en el registro del teléfono. Pero, ¿cómo funcionaría un hack como ese en primer lugar?

WhatsApp, que ofrece mensajes cifrados de forma predeterminada a sus 1.500 millones de usuarios en todo el mundo, descubrió la vulnerabilidad a principios de mayo y lanzó un parche para él este lunes. La compañía de Facebook le dijo al Departamento de Comercio que contactó a varios grupos de derechos humanos sobre el tema, y ​​que la explotación de esta vulnerabilidad conlleva “todas las características de una empresa privada conocida por trabajar con los gobiernos para entregar software espía”.

En una declaración, el Grupo NSO negó cualquier participación en la selección o el destino de las víctimas, pero no su papel en la creación del propio hack.

Los llamados errores de día cero, en los que los atacantes encuentran una vulnerabilidad antes de que la compañía pueda solucionarlos, ocurren en todas las plataformas. Es parte integral del desarrollo de software; El truco es cerrar esas brechas de seguridad lo más rápido posible. Sin embargo, un truco que no requiere nada más que una llamada telefónica entrante parece ser un desafío singular, si no imposible, de defenderse.

WhatsApp no ​​le dio detalles a WIRED sobre cómo descubrió el error, ni dio detalles sobre cómo funciona, pero dice que está realizando actualizaciones de infraestructura además de presionar un parche para garantizar que los clientes no puedan ser atacados con otros errores de llamadas telefónicas.

“Los errores explotables remotamente pueden existir en cualquier aplicación que reciba datos de fuentes no confiables”, dice Karsten Nohl, científico jefe de la firma alemana Security Research Labs. Eso incluye las llamadas de WhatsApp, que utilizan el protocolo de voz sobre internet para conectar a los usuarios. Las aplicaciones de VoIP tienen que reconocer las llamadas entrantes y notificarle sobre ellas, incluso si no contesta. “Cuanto más complejo es el análisis de datos, más espacio para el error”, dice Nohl. “En el caso de WhatsApp, el protocolo para establecer una conexión es bastante complejo, por lo que definitivamente hay espacio para errores explotables que pueden activarse sin que el otro extremo conteste la llamada”.

Los servicios de llamadas VoIP han existido durante tanto tiempo que usted pensaría que algún problema en los protocolos básicos de conexión de llamadas ya estaría solucionado. Pero en la práctica, la implementación de cada servicio es un poco diferente. Nohl señala que las cosas se complican aún más cuando se ofrecen llamadas cifradas de extremo a extremo, como lo hace WhatsApp. Si bien WhatsApp basa su cifrado de extremo a extremo en el Protocolo de señal, su función de llamadas VoIP también es probable que incluya otros códigos de propiedad. Signal dice que su servicio no es vulnerable a este ataque de llamada Según la advertencia de seguridad de Facebook, la vulnerabilidad de WhatsApp surgió de un tipo de error extremadamente común, conocido como “desbordamiento de búfer”. Las aplicaciones tienen una especie de bolígrafo de retención, llamado búfer, para esconder datos adicionales. Una clase popular de ataques sobrecarga estratégicamente ese búfer, de modo que los datos se “desbordan” en otras partes de la memoria. Esto puede causar bloqueos o, en algunos casos, darles a los atacantes un punto de apoyo para obtener más y más control. Eso es lo que pasó con WhatsApp. El hack explota el hecho de que, en una llamada VoIP, el sistema debe estar preparado para un rango de posibles entradas del usuario: recoger, rechazar la llamada, etc.

“Esto realmente suena como un incidente extraño, pero en el fondo parece ser un problema de desbordamiento de búfer que desafortunadamente no es muy infrecuente en estos días”, dice Bjoern Rupp, CEO de la firma alemana de comunicaciones seguras CryptoPhone. “La seguridad nunca fue el objetivo principal de diseño de WhatsApp, lo que significa que WhatsApp tiene que depender de pilas VoIP complejas que son conocidas por tener vulnerabilidades”.

El error de WhatsApp solo estaba siendo explotado para atacar a un pequeño número de activistas de alto perfil y disidentes políticos, por lo que la mayoría de las personas no se verían afectadas por esto en la práctica. Pero aún debe descargar el parche en sus dispositivos Android e iOS si aún no lo ha hecho.

“Compañías como el Grupo NSO intentan mantener un poco de cosas que pueden usarse para acceder a los dispositivos”, dice John Scott-Railton, investigador principal del Laboratorio de Ciudadanos de la Universidad de Toronto. “Este incidente deja bastante claro que cualquier persona con un teléfono se ve afectada por el tipo de vulnerabilidades que los clientes de estas empresas están lanzando. Hay una realidad para todos nosotros”.

ft. elmundo.sv