Una nueva investigación revela una falla que afecta los archivos multimedia de WhatsApp y Telegram en Android.
Los archivos de medios de WhatsApp y Telegram podrían ser expuestos y manipulados por actores maliciosos de acuerdo con una nueva investigación realizada por el equipo de Modern OS Security de Symantec, centrada en la protección de terminales móviles y sistemas operativos.
La falla de seguridad, denominada ‘Media File Jacking’, afecta a WhatsApp en Android de forma predeterminada, y a Telegram en Android si ciertas funciones están habilitadas.
El problema se debe a que transcurre tiempo entre el momento en que los archivos multimedia recibidos a través de las aplicaciones se escriben en el disco y cuando se cargan en la interfaz de usuario de chat (UI) de las aplicaciones para que los usuarios las consuman. Este lapso crítico presenta una oportunidad para que los actores malintencionados intervengan y manipulen los archivos multimedia sin el conocimiento del usuario.
Si se explota la falla de seguridad, un atacante malintencionado podría hacer un mal uso y manipular información confidencial como fotos y videos personales, documentos corporativos, facturas y notas de voz. Los atacantes podrían aprovechar las relaciones de confianza entre un remitente y un receptor al usar estas aplicaciones de mensajería instantánea para beneficio personal o para causar estragos.
La amenaza de ‘Media File Jacking’ es especialmente preocupante a la luz de la percepción común de que la nueva generación de aplicaciones de mensajería instantánea es inmune a la manipulación del contenido y los riesgos de privacidad, gracias a la utilización de mecanismos de seguridad como el cifrado de punta a punta.
Los usuarios generalmente confían en aplicaciones de mensajería instantánea como WhatsApp y Telegram para proteger la integridad tanto de la identidad del remitente como del contenido del mensaje en sí. Esto contrasta con aplicaciones/protocolos más antiguos, como SMS, que se sabe que son falsificados con facilidad. Sin embargo, como hemos mencionado en el pasado, ningún código es inmune a las vulnerabilidades de seguridad. Si bien el cifrado de punta a punta es un mecanismo eficaz para garantizar la integridad de las comunicaciones, este no es suficiente si existen vulnerabilidades a nivel de aplicación en el código.
Lo que descubrimos en la investigación de ‘Media File Jacking’ es que los atacantes pueden manipular con éxito los archivos multimedia aprovechando las fallas lógicas de las aplicaciones, que se producen antes y/o después de que el contenido se haya cifrado en tránsito.
Las aplicaciones de Android pueden almacenar archivos y datos en dos ubicaciones de almacenamiento: almacenamiento interno y externo. Los archivos guardados en el almacenamiento interno son accesibles solo por la propia aplicación, lo que significa que otras aplicaciones no pueden acceder a ellos. Los archivos guardados en un directorio público de almacenamiento externo son legibles/grabables en todo el mundo, por lo que pueden ser modificados por otras aplicaciones o usuarios fuera del control de la aplicación.
De acuerdo con la documentación para desarrolladores de Android, “el almacenamiento interno es mejor cuando desea asegurarse de que ni el usuario ni otras aplicaciones pueden acceder a sus archivos“. Por el contrario, “el almacenamiento externo es el mejor lugar para los archivos que no requieren restricciones de acceso y para los archivos que desea compartir con otras aplicaciones o permitir que el usuario acceda con una computadora”.
De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo, en la siguiente ruta: /storage/emulated/0/WhatsApp/Media/. En Telegram, si un usuario habilita la función “Guardar en galería” bajo el supuesto de que esto es seguro y sin comprender sus ramificaciones indirectas, Telegram almacenará archivos de manera similar en: /storage/emulated/0/Telegram/. Ambos son directorios públicos. Las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat, cuando ingresan al chat correspondiente.
El hecho de que los archivos se almacenan y se cargan desde el almacenamiento externo sin los mecanismos de seguridad adecuados se pueden poner en riesgo otras aplicaciones con permisos de almacenamiento de escritura externo y comprometer la integridad de los archivos multimedia.
El almacenamiento de escritura externo (WRITE_EXTERNAL_STORAGE) es un permiso común solicitado por las aplicaciones de Android, con más de un millón de aplicaciones en Google Play que tienen este acceso. De hecho, según datos de aplicaciones internas casi el 50% de las aplicaciones de un dispositivo tiene este permiso.
Cuando investigamos el flujo de cómo se manejan los archivos multimedia en WhatsApp y Telegram, encontramos que en el tiempo transcurrido entre la recepción de los archivos en un dispositivo y su escritura en el disco (PASO 1), y cuando se cargan para que los usuarios los consuman a través de las aplicaciones (PASO 3), surge la oportunidad ideal de explotación: el malware puede analizar y manipular instantáneamente los archivos (o simplemente reemplazarlos con los archivos elegidos por el atacante) para obtener beneficios maliciosos (PASO 2).
Piense en ello como una carrera entre el atacante y la aplicación que carga los archivos. Si el atacante accede primero a los archivos (esto puede suceder casi en tiempo real si el malware monitorea los directorios públicos para detectar cambios) los destinatarios verán los archivos manipulados sin poder ver los originales. Además, la miniatura que aparece en la notificación que ven los usuarios también mostrará la imagen o el archivo manipulados, por lo que los destinatarios no tendrán ninguna indicación de que se hayan cambiado los archivos. Además, los datos se pueden manipular en WhatsApp al enviar archivos, lo que significa que el ataque se lanza en el dispositivo del remitente, y cuando se reciben archivos, con el ataque en el dispositivo receptor.
Como se comentó, el permiso WRITE_EXTERNAL_STORAGE es muy común entre las aplicaciones de Android y los usuarios generalmente no dudan en otorgar el permiso como parte del proceso de incorporación. Por lo tanto, es posible que, sin saberlo, un usuario pueda instalar el malware antes mencionado en lugar de instalar otra aplicación que solicite permisos más agresivos (como sensores de dispositivos críticos o acceso a recursos). En este caso, un usuario puede ser más cauteloso antes de aceptar la instalación.
Además, la vulnerabilidad de Media File Jacking apunta a un problema mayor del uso no seguro de los recursos de almacenamiento por parte de los desarrolladores de aplicaciones. En 2018, los investigadores descubrieron una falla similar relacionada con cómo algunas aplicaciones de Android utilizan el almacenamiento externo, lo que abre la puerta a la manipulación de datos por parte de los atacantes. Un ataque llamado Hombre en el disco puede ocurrir cuando los desarrolladores no toman las precauciones de seguridad cuando almacenan archivos en un almacenamiento externo. Esto puede dar como resultado la instalación silenciosa de aplicaciones potencialmente maliciosas y la denegación de servicios para las aplicaciones.
Algunos escenarios donde los atacantes podrían explotar esta vulnerabilidad a víctimas de estafa:
En este escenario, una aplicación aparentemente inocente, pero en realidad maliciosa, descargada por un usuario puede manipular fotos personales casi en tiempo real y sin que la víctima lo sepa.
En uno de los ataques más dañinos de ‘Media File Jacking’, un actor malintencionado puede manipular una factura enviada por un proveedor a un cliente para engañar al cliente para que realice un pago a una cuenta ilegítima. Al igual que en el escenario anterior, una aplicación que parece ser legítima pero que en realidad es maliciosa, observa los archivos de facturas en PDF recibidos a través de WhatsApp y luego intercambia la información de la cuenta bancaria que se muestra en la factura con la del malintencionado.
El cliente recibe la factura que esperaba, pero no tiene conocimiento de que se haya modificado. En el momento en que se exponga el engaño, el dinero habrá desaparecido. Para empeorar las cosas, la piratería de la factura podría ser ampliamente distribuida de forma no dirigida, buscando cualquier factura que manipular, afectando a múltiples víctimas que usan aplicaciones de mensajería instantánea como WhatsApp para realizar negocios.
En este escenario, un atacante explota las relaciones de confianza entre los empleados de una organización. Un CEO le envía a su CFO un mensaje de audio, a través de WhatsApp, solicitando diapositivas actualizadas para una reunión de directorio la próxima semana.
El atacante, utilizando la reconstrucción de voz a través de la tecnología de aprendizaje profundo, algo que se está convirtiendo cada vez más factible hoy, modifica el archivo de audio original para comunicarse con el CFO, en la propia voz del CEO, de que un pago debe transferirse de inmediato a una parte ficticia, que de hecho es el atacante. El malintencionado no solo manipula las comunicaciones del CEO, sino que va un paso más allá para reconstruir su voz, lo que resulta en una técnica de engaño muy efectiva.
El mensaje original del CEO se reemplaza cuando llega al teléfono del CFO. Lo que el CFO escucha al final es un mensaje de audio creíble de su jefe para hacer un pago, algo que un empleado inconsciente puede percibir fácilmente como una solicitud legítima.
Descubre por qué no debes quedarte sentado más de lo necesario.
La salud neurológica es una preocupación creciente en todo el mundo, con un notable aumento…
El sueño es un proceso biológico fundamental para la salud física y mental. Cuando este…
Aunque puede ser difícil de describir, este síntoma suele ser la señal de que algo…
Un microbioma intestinal saludable podría ayudar a las personas con EII, pero ¿deberían los probióticos…
Aprende consejos prácticos y encuentra 15 ideas fáciles para mantenerte en el camino hacia una…
Esta web usa cookies.