Check Point ha descubierto una nueva vulnerabilidad en las versiones para navegador de WhatsApp y Telegram: WhatsApp Web y Telegram Web. Esta vulnerabilidad permite al ciberdelincuente enviar el código malicioso oculto dentro de una imagen de aspecto inofensivo.
Cuando el usuario hace clic en la fotografía abre el acceso completo a los datos almacenados en WhatsApp o Telegram. El ciberdelincuente puede enviar el archivo malicioso a todos los contactos de la víctima, lo que potencialmente permite un ataque a gran escala.
Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point, subrayó que «simplemente enviando una foto aparentemente inofensiva, un ciberdelincuente podría hacerse con el control de sus cuentas, acceder al historial de mensajes, ver y descargar todas las fotos compartidas y enviar mensajes en nombre de la víctima».
Check Point comunicó este problema a los equipos de seguridad de WhatsApp y Telegram el pasado 8 de marzo. Las dos empresas reconocieron el problema y han desarrollado una solución para los clientes web.
WhatsApp y Telegram usan la encriptación de mensajes de extremo a extremo, una táctica de protección de datos que asegura que solo las personas implicadas en la conversación puedan leer los mensajes; pero esta técnica fue el origen de la vulnerabilidad. Al cifrar el emisor el mensaje, WhatsApp y Telegram no pudieron ver el contenido, y por tanto no pudieron prevenir que se enviara malware. Al corregir esta vulnerabilidad, el contenido se valida antes del cifrado para bloquear los archivos maliciosos.