A WhatsApp le preocupa la seguridad y crea una web para mantenernos informados
Servirá para dar a conocer todos los agujeros que seguridad que va cerrando.
Queramos o no, la seguridad de nuestro smartphone es un problema que nos afecta a diario y que tiene en los desarrolladores como primer dique de contención ante los hackers: si las aplicaciones que instalamos no son seguras el sistema se debilita y todos nuestros datos personales corren peligro de ser robados o eliminados. Es evidente que nosotros también tenemos nuestra parte de responsabilidad, manteniendo unas costumbres saludables y no cometiendo pequeñas imprudencias que al final terminamos por pagar.
Sea como fuere WhatsApp es una de esas apps que usamos a diario por lo que su seguridad nos debería concernir. Y ha sido la propia compañía la que ha dado el paso de crear un lugar al que ir a consultar todas esas fallas que va cerrando y que afectan a nuestra seguridad. Una por una.
Nuevo recurso de consulta
Esta página web que acaba de inaugurar WhatsApp se encargará de indicarnos qué problemas han corregido y, muy importante, las versiones que se han visto afectadas por estos agujeros. Esa información nos servirá para comparar las releases que tenemos instaladas en nuestros dispositivos y, en caso de no haberlas actualizado en mucho tiempo, hacerlo lo antes posible para evitarnos problemas.
En la inauguración de este recurso informativo de WhatsApp, los de Facebook han dado a conocer hasta seis problemas que han solucionado en las últimas fechas, por lo que es de esperar que a medida que pasen los días, vayan incluyendo nuevos updates. Aquí los tenéis todos:
- CVE-2020-1894: desbordamiento de "escritura de pila" que podría haber permitido la infección de un código malicioso, facilitando "la ejecución de código arbitrario al reproducir un mensaje de pulsar para hablar" (versiones de WhatsApp para Android previas a la v2.20.35, WhatsApp Business para Android v2.20.20, WhatsApp para iPhone v2.20.3 y WhatsApp Business para iPhone v2.20.30)
- CVE-2020-1891: "parámetro controlado por el usuario utilizado en las videollamadas" que podría haber permitido "una escritura fuera de límites en dispositivos de 32 bits" (versiones de WhatsApp para Android previas a la v2.20.17, WhatsApp Business para Android v2.20.7, WhatsApp para iPhone v2.20.20 y WhatsApp Business para iPhone v2.20.20)
- CVE-2020-1890: problema de validación que "podría haber provocado que el destinatario de un mensaje de stickers que contenía datos deliberadamente mal formados cargara una imagen desde una URL controlada por el remitente sin la interacción del usuario" (versiones de WhatsApp para Android previas a la v2.20.11 y WhatsApp Business para Android v2.20.2)
- CVE-2020-1889: problema de "omisión de funciones de seguridad" que podría haber permitido "el escape de la zona de pruebas en Electron y la escalada de privilegios si se combinaba con una vulnerabilidad de ejecución remota de código dentro del proceso de renderización de la zona de pruebas" (versiones de WhatsApp Desktop anteriores a la v0.3.4932)
- CVE-2020-1886: desbordamiento de búfer que "podría haber permitido una escritura fuera de los límites a través de una transmisión de vídeo especialmente diseñada después de recibir y responder una videollamada maliciosa" (versiones de WhatsApp para Android previas a la v2.20.11 y WhatsApp Business para Android v2.20.2)
- CVE-2019-11928: problema de "validación de entrada" que podría haber provocado "la creación de scripts entre sitios [web] al hacer clic en un enlace de un mensaje de ubicación especialmente diseñado" (versiones de WhatsApp para Desktop previas a la v0.3.4932)
