Actualidad Entelgy

Contacto

Jueves, 03 Julio 2014 00:00

¡Cuidado con los WhatsApp! InnoTec alerta sobre sus riesgos y vulnerabilidades

Expertos en Seguridad de InnoTec System (Grupo Entelgy) repasan en un interesante estudio los principales peligros y vulnerabilidades de WhatsApp, la aplicación de mensajería instantánea más popular del momento.

InnoTec_CuidadoconWhatsAppLas cifras:

  • 500 millones de usuarios en todo el mundo
  • En España más de 23 millones de personas se han descargado esta aplicación
  • Sus usuarios comparten más de 50.000 millones de mensajes
  • 700 millones de fotos y más de 100 millones de vídeos a diario, a lo que hay que sumar los mensajes de voz.

“El éxito de la aplicación la ha situado en el punto de mira de los ciberatacantes que, por qué no decirlo, se han encontrado en los diferentes ciclos de vida de la herramienta con una construcción con las puertas abiertas de par en par. Las numerosas vulnerabilidades encontradas la han situado como blanco perfecto para la distribución de malware y robo de datos personales. Esta situación se ha visto agravada por la escasa percepción de riesgos entre los usuarios de dispositivos móviles que apenas si toman precauciones para proteger su información, cuentan desde InnoTec.

Ya en marzo de 2013, Juan Garrido, consultor de InnoTec, descubrió una gran vulnerabilidad de la aplicación gracias a la cual actualizaron a una versión más segura de WhatsApp:

Cualquier usuario, de forma anónima y sin necesidad de credenciales, podía utilizar la infraestructura de WhatsApp para subir todo tipo de archivos o ficheros de cualquier tamaño a sus servidores (incluido los ejecutables). Dado que, además, la plataforma de WhatsApp no cuenta con ningún tipo de antivirus y que los contenidos se borran automáticamente en un período de 30 días, las facilidades para distribuir todo tipo de malware o realizar ataques de phishing (haciendo creer al usuario que está ante la página web de su banco captando su contraseña) son tremendamente sencillas y sin ningún tipo de costes para el atacante (que además puede mantener el anonimato sin problema).

Asimismo, Garrido descubrió una grave carencia en el proceso de alta y verificación de los usuarios. Así, el código de activación de usuario se genera en el propio entorno de la aplicación, incluso antes de ser enviado a los servidores internos para que éstos manden el mensaje SMS, con el código, al usuario.

Junto con las vulnerabilidades mencionadas, hay otras cuestiones muy relevantes que se describen en el estudio de InnoTec. Puedes leer este informe completo pinchando aquí

Varios medios de comunicación, tanto de España como de Latinoamérica, han publicado este inquietante pero revelador estudio de  InnoTec en sus páginas:

Expertos en Seguridad de InnoTec System (Grupo Entelgy) repasan en un interesante estudio los principales peligros y vulnerabilidades de WhatsApp, la aplicación de mensajería instantánea más popular del momento.

InnoTec_CuidadoconWhatsAppLas cifras:

  • 500 millones de usuarios en todo el mundo
  • En España más de 23 millones de personas se han descargado esta aplicación
  • Sus usuarios comparten más de 50.000 millones de mensajes
  • 700 millones de fotos y más de 100 millones de vídeos a diario, a lo que hay que sumar los mensajes de voz.

“El éxito de la aplicación la ha situado en el punto de mira de los ciberatacantes que, por qué no decirlo, se han encontrado en los diferentes ciclos de vida de la herramienta con una construcción con las puertas abiertas de par en par. Las numerosas vulnerabilidades encontradas la han situado como blanco perfecto para la distribución de malware y robo de datos personales. Esta situación se ha visto agravada por la escasa percepción de riesgos entre los usuarios de dispositivos móviles que apenas si toman precauciones para proteger su información, cuentan desde InnoTec.

Ya en marzo de 2013, Juan Garrido, consultor de InnoTec, descubrió una gran vulnerabilidad de la aplicación gracias a la cual actualizaron a una versión más segura de WhatsApp:

Cualquier usuario, de forma anónima y sin necesidad de credenciales, podía utilizar la infraestructura de WhatsApp para subir todo tipo de archivos o ficheros de cualquier tamaño a sus servidores (incluido los ejecutables). Dado que, además, la plataforma de WhatsApp no cuenta con ningún tipo de antivirus y que los contenidos se borran automáticamente en un período de 30 días, las facilidades para distribuir todo tipo de malware o realizar ataques de phishing (haciendo creer al usuario que está ante la página web de su banco captando su contraseña) son tremendamente sencillas y sin ningún tipo de costes para el atacante (que además puede mantener el anonimato sin problema).

Asimismo, Garrido descubrió una grave carencia en el proceso de alta y verificación de los usuarios. Así, el código de activación de usuario se genera en el propio entorno de la aplicación, incluso antes de ser enviado a los servidores internos para que éstos manden el mensaje SMS, con el código, al usuario.

Junto con las vulnerabilidades mencionadas, hay otras cuestiones muy relevantes que se describen en el estudio de InnoTec. Puedes leer este informe completo pinchando aquí

Varios medios de comunicación, tanto de España como de Latinoamérica, han publicado este inquietante pero revelador estudio de  InnoTec en sus páginas:

S5 Box