Se ha descubierto una vulnerabilidad en WhatsApps y Telegram que permitiría el acceso y manipulación de los ficheros del usuario.

La vulnerabilidad ha sido descubierta por el equipo de seguridad de sistemas operativos modernos de la firma antivirus ‘Symantec’ y ya ha sido bautizada como ‘Media File Jacking’ y afecta a las aplicaciones WhatsApp y Telegram de la plataforma Android.

El error se da sólo en dos precisos instantes: En el momento en el que la aplicación ha recibido un fichero y lo está escribiendo en la unidad física, y en el momento en el que la aplicación está cargando los ficheros en la Interfaz de Usuario (UI).

Por defecto, la lectura y escritura se hacen en directorios públicos, siendo ‘/storage/emulated/0/WhatsApp/Media/’ el directorio por defecto de WhatsApps y ‘/storage/emulated/0/Telegram/’ el directorio de Telegram, directorios que por defecto son accesibles por una aplicación que tenga permiso para utilizar la memoria externa del teléfono.

Algún lector le habrá saltado la alarma preguntándose: “Si cualquier aplicación con permisos para manipular la unidad extraible… ¿Qué tiene de nuevo o cómo puede afectar la vulnerabilidad?”. Pues la clave está en el permiso ‘WRITEEXTERNALSTORAGE’ que permite la lectura en tiempo real de los archivos que se guardan en memoria sin importa si el fichero pertenece a la aplicación o no. Esto permitiría una manipulación de un fichero e incluso antes de ser mostrado al usuario, pudiendo tener unos efectos devastadores. Ya que el usuario podría tener plena confianza en que un fichero que acaba de recibir de una persona de confianza fuera malicioso.

De esta forma un ataque podría perpetrarse de la siguiente manera:

• Un usuario descarga una aplicación (maliciosa) que requiera el permiso ‘WRITEEXTERNALSTORAGE’, cosa que no es nada fuera de lo normal.
• El usuario a continuación recibe un mensaje de una persona de mucha confianza a través de una estas aplicaciones vulnerables, y que hoy en día son tan comunes en nuestro día a día, y que puede ser leída en tiempo real por la aplicación maliciosa recién instalada.
• La aplicación maliciosa, lee y manipula el fichero recibido a voluntad antes de que sea mostrado al usuario, con el riesgo que pueda acarrear esta acción.

Los investigadores han publicado varios vídeos dónde pueden apreciarse la manipulación de varios ficheros: Una imagen, un documento PDF y un mensaje de voz.

Como posible contramedida se recomienda desactivar el guardado automático de los ficheros, para que en la medida de lo posible puedan ser recibidos en otras aplicaciones que no son vulnerables como las web o las de escritorio. Aunque lo más recomendable para ficheros confidenciales o con información sensible, es utilizar otro canal de comunicación.

Más información:

Symantec Mobile Threat: Attackers Can Manipulate Your WhatsApp and Telegram Media Files
https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media