Post

Suplantación de archivos en WhatsApp para Android

Este problema permite a un atacante disfrazar una aplicación maliciosa de Android como un archivo PDF compartido en el chat. Por ahora la vulnerabilidad NO ha sido solucionada.

El 25 de junio de 2024, @0x6rss informó este error de manipulación de extensión al equipo de seguridad de Facebook, que administra la recompensa por errores de WhatsApp. Sin embargo, el equipo no lo consideró una vulnerabilidad de seguridad sino más bien un tipo de engaño de ingeniería social, que no entra en la categoría de vulnerabilidades de seguridad dentro del alcance.

A pesar de no estar reconocida oficialmente como una vulnerabilidad (ni haber sido solucionada), es crucial que los usuarios conozcan este “truco” simple pero efectivo. Con este método, se puede engañar a personas que no están muy familiarizadas con la tecnología para que descarguen e instalen una aplicación dañina. Telegram descubrió y solucionó recientemente un problema similar, donde las aplicaciones maliciosas de Android podían disfrazarse de videos compartidos en el chat en la aplicación Telegram para Android.

@0x6rss compartió algunos detalles y el error se puede replicar, aunque la prueba de concepto aún no está disponible públicamente. Se puede ver una demostración en este video.

Este error se puede explotar únicamente utilizando la API de WhatsApp y no directamente enviando una carga útil diseñada dentro de la aplicación. Este sencillo truco consiste en cambiar la extensión del archivo del documento mostrado. WhatsApp sigue mostrando la extensión original del archivo. Para los usuarios TI, lo más probable es que sea una señal de alerta; sin embargo, es posible que el usuario común no sepa qué significa “APK” o qué extensión de archivo usa la aplicación de Android cuando el nombre del archivo indica que es un formato PDF.

Imagen 00

Cuando el usuario hace clic en el archivo (APK disfrazado de PDF), aparece la segunda bandera roja, que es una advertencia de WhatsApp de que este documento puede contener contenido no seguro.

Imagen 01

Esta advertencia es razonable; sin embargo, dice explícitamente un documento, no una aplicación. Existe una pequeña diferencia de texto entre compartir un archivo APK con extensión manipulada y el método normal de compartir un archivo APK real, que efectivamente corresponde a un aplicación de Android.

Cuando se hace clic en Abrir, WhatsApp solicita al usuario que permita a WhatsApp Messenger instalar aplicaciones de fuentes desconocidas y, incluso, si esto ya ha sido permitido anteriormente, se omite este paso.

Para quienes usan WhatsApp en sus computadoras, este error no afecta a WhatsApp Web ni a la aplicación de escritorio.

This post is licensed under CC BY 4.0 by the author.