Investigadores han informado sobre un fallo de seguridad que ha sido detectado en la página web corporativa del famoso programa de mensajería para dispositivos móviles. Según los propios investigadores, terceras personas podrían hacer uso de la vulnerabilidad XSS (Cross-Site scripting) para llevar a cabo la difusión de malware.
Hasta el momento, el agujero de seguridad sigue estando disponible y los responsables del servicio aún no han querido hacer público ningún comunicado, aunque ya se les ha advertido sobre el fallo de seguridad.
Actualmente, Whatsapp cuenta con miles de millones de usuario, repartidos por todas las plataformas móviles más conocidas: Android, Blackberry OS, iOS, Symbiam y Windows Phone.
Los investigadores han dado más detalles y han indicado que con esta vulnerabilidad, el atacante puede inyectar código en la información que el usuario recibe acerca de la página web que visita, por lo que la información que el usuario visualice, puede diferir de la original.
La vulnerabilidad XSS se trata de algo muy común en aplicaciones web y navegadores de internet.
Vulnerabilidad detectada en la página de realizar pagos
En concreto, el fallo de seguridad ha sido encontrado en la página a la que el usuario accede para llevar a cabo el pago de la aplicación (en el caso de que se necesite o se haya acabado el periodo de prueba). Los investigadores han querido demostrar como es posible propagar programas malicioso utilizando este fallo de seguridad.
Los investigadores, ha modo de ejemplo, han querido mostrar el modo de empleo de este fallo de seguridad para tratar de prevenir posibles problemas que puedan aparecer hasta que el problema se solucione. La siguiente línea muestra una dirección URL de la página web de Whatsapp que ha sido modificada:
Como se puede observar, se ha añadido una URL que realizará la descarga de un programa que simula ser la versión oficial del programa de mensajería, pero que podría tratarse de un virus.
La seguridad es muy importante. Por ello en otro artículo mostramos cómo protegernos del redireccionamiento malicioso.