Noticias

Vulnerabilidades Whastapp

Vulnerabilidad de Whatsapp a ataques CVE-2021-24027

WhatsApp lanzó parches para solucionar dos vulnerabilidades que afectaban a su aplicación para Android, y que podrían haber sido explotadas para ejecutar código malicioso de forma remota y comprometer las comunicaciones cifradas.

La versiones de ANDROID afectadas son las iguales o inferiores a la 9

El ataque MAN in the DISK, comparte similitudes con la conocido MAN in the MIDDLE.

Si quieres saber que son este tipos de ataques puedes hacerlo en nuestro buscardor donde explicamos este y otros terminos

BBDD de Terminología Informática y su significado

A groso modo, Android cuenta un almacenamiento compartido llamado “Almacenamiento externo” las aplicación para poder almacenar imagenes, documentos deben solicitar permiso al usuario para acceder a este almacenamiento, del todo legítimo y necesario para el correcto funcionamiento de la aplicación, y que apriori no implica riesgos ya que lo que va a guardar WHATSAPP son archivos de IMAGENES, DOCUMENTOS, etc que nos envían nuestros contactos por el CHAT.

Pero teniendo este posibilidad de guardar archivos y un atacante puede realizar una serie de acciones y que teniendo en cuenta la vulnerabilidad de Whatsapp CVE-2021-24027, con su explotación ese atacante será capaz de modificar los datos intercambiados entre la aplicación y el disco, obteniendo el acceso a todos los datos que se encuentren en ESE ALMACENAMIENTO, incluidas las conversaciones, fotos o videos de Whatsapp.

Whatsapp lanzó un parche de seguridad donde se establece el almacenamiento de su aplicación en un “scoped storage”, para evitae que la información de Whatsapp se encuentre en una zona de almacenamiento compartida con el resto de aplicaciones del dispositivo, y en caso de producirse un ataque de Man-In-The-Disk, no se podría acceder a su información del resto de aplicaciones.

Pero nos pregunatmos, si sigue existiendo la posibilidad que puedan acceder a la información que WHATSAPP almacena.

Estaremos atentos a futuras aclaraciones por parte de la empresa.

Uno de los 10 mandamientos de la ciberseguridad es tener las aplicaciones actualizadas.

El siguiente video muestra la explotación de esta vulnerabilidad.

Financiado por la Unión Europea - NextGenerationEU
Ministerio para la Transición Ecológica
IDAE
Plan de Recuperación, Transformación y Resiliencia
Junta de Andalucía - Agencia Andaluza de la Energía
Consejería de Industria, Energía y Minas
Agencia Andaluza de la Energía
LYA

LASSO Y ASOCIADOS CENTER SL ha recibido una ayuda de la Unión Europea con cargo al Fondo NextGenerationEU, en el marco del Plan de Recuperación, Transformación y Resiliencia, para para instalación solar fotovoltaica de autoconsumo de 4kw dentro del programa de incentivos ligados al autoconsumo y almacenamiento, con fuentes de energía renovable, así como la implantación de sistemas térmicos renovables en el sector residencial del Ministerio para la Transición Ecológica y el Reto Demográfico, gestionado por la Junta de Andalucía, a través de la Agencia Andaluza de la Energía.