La compañía de mensajería instantánea Whatsapp ha informado de una vulnerabilidad detectada en el servicio de llamadas de la app. Etiquetado por la compañía como CVE-2019-3568, permite a los ciberdelincuentes introducir un ‘spyware’ (software espía) en el smartphone de la víctima mediante una simple llamada, incluso si el usuario no responde.
La empresa propiedad de Facebook ha confirmado así la información que horas antes había desvelado el medio británico Financial Times. La vulnerabilidad, detectada a principios de mes por los investigadores de Whatsapp, consiste en un desbordamiento de búfer.
Un método que posibilita a los ciberdelincuentes secuestrar la aplicación para introducir un código malicioso que escudriñe chats encriptados, escuche llamadas, encienda el micrófono y la cámara o acceda a las imágenes y a la lista de contactos del usuario. Además de modificar el registro de llamadas con el fin de ocultar el ataque.
En este caso, el software introducido es un spyware que, de acuerdo con el medio británico, se trataría de un producto de la ‘startup’ israelí NSO Group, especializada en desarrollar programas espía para entidades gubernamentales.
Fuentes de la aplicación móvil no han mencionado a la compañía, pero han asegurado que el ataque cuenta con las características propias de una realizada por una empresa privada, debido al reducido número de afectados – no ha sido un ataque masivo, de acuerdo con Whatsapp-, y al cuidado que se requiere para realizar este tipo de ataques – en un desbordamiento de búfer, el ciberdelincuente debe manipular de forma cuidadosa los paquetes de datos que se envían al iniciar una llamada-.
Desde la empresa de mensajería recomiendan a los usuarios actualizar la aplicación, disponible desde el pasado viernes. La vulnerabilidad ha afectado a dispositivos iOS, Android, Windows Phone y Tizen.