Seguridad WhatsApp

Nuestra preocupación principal, y la de nuestros usuarios, es la seguridad y privacidad en las comunicaciones con WhatsApp
61 Problemas de seguridad
Historial
Héctor Hernández, 19/10/20 (Actualizado 05/11/20).

2020

IOS
05/11/20
Uso de Siri para manipular WhatsApp iOS incluso con la pantalla bloqueada
Un problema con la autorización incorrecta del uso de la función de bloqueo de pantalla en las versiones de iOS de WhatsApp Messenger y WhatsApp Messenger Business anteriores a la versión 2.20.100 hacía posible usar Siri para manipular la aplicación incluso después de bloquear el teléfono.
IOS
05/11/20
El fallo de una librería podía corromper la memoria, habilitar la ejecución de código y provocar otros fallos en la app
Una concatenación de diferentes eventos pudo provocar la corrupción de memoria en la app, fallos y ejecución de código malicioso. El fallo estaba relacionado con un problema en una biblioteca de registro empleada en las versiones anteriores a la 2.20.111 de WhatsApp Messenger y WhatsApp Business para iOS. Para provocar el fallo eran necesarios diferentes supuestos en un determinado orden, entre ellos recibir un sticker animado mientras colocamos una videollamada en espera.
IOS
06/10/20
Bloqueo de la aplicación mediante envío de mensajes largos
Mediante el envío de un mensaje de gran tamaño que contiene una URL, era posible bloquear el cliente de iOS al provocar que la app se congelara al procesar el mensaje.
Android
06/10/20
Determinadas búsquedas podrían abrir Google usando HTTP simple
Un fallo al realizar búsquedas rápidas de un mensaje muy reenviado podía enviar al usuario al servicio de búsquedas de Google utilizando HTTP simple.
IOS
06/10/20
Denegación de servicio a través de archivos DOCX, PPTX y XLSX
Al descomprimir un documento DOCX, PPTX o XLSX habituales de la suite Office era posible provocar una denegación de servicio como resultado de la falta de memoria, para lo cual era necesario que el número de teléfono que enviaba el archivo no estuviera en nuestra lista de contactos.
IOS
06/10/20
Sobrescritura de archivos de directorio transversal
Un error en la validación de ruta al enviar archivos DOCX, XLX y PPTX diseñados como archivos adjuntos en los mensajes permitía la sobrescritura de archivos de directorio transversal.
Android
06/10/20
Apps maliciosas con posible acceso a contenido adjunto
Un error en los URI (uniform resource identifier) de Media ContentProvider empleados a la hora de abrir archivos adjuntos en aplicaciones de terceros hacía que estos se generasen de manera secuencial, lo que significa que una app de terceros maliciosa podía abrir el archivo y adivinar los URI de archivos adjunto abiertos con anterioridad.
Android
06/10/20
Desbordamiento de búfer a partir de vídeos locales codificados con un determinado formato de audio
Al procesar vídeos locales mal formados con transmisiones de audio E-AC-3 era posible habilitar la escritura fuera de límites y provocar un desbordamiento de búfer.
Android IOS
06/10/20
Ejecución de código arbitrario para provocar un desbordamiento de pila
Al analizar el contenido de encabezados de extensión RTP era posible ejecutar código arbitrario y provocar un desbordamiento en la pila de WhatsApp.
Mac Windows
03/09/20
Problema de validación de entrada
A través de los mensajes de localización en vivo, un atacante podría haber permitido el cross-site scripting mediante un enlace.
Android
03/09/20
Desbordamiento de búfer
Habilitaba la escritura fuera de los límites mediante transmisiones de vídeo diseñadas para actuar cuando se respondía.
Mac Windows
03/09/20
Omisión de funciones de seguridad en WhatsApp Desktop
Un problema de omisión de funciones de seguridad en las versiones de WhatsApp Desktop anteriores a la v0.3.4932 podría haber permitido el escape de la zona de pruebas en Electron y la escalada de privilegios si se combinaba con una vulnerabilidad de ejecución remota de código dentro del proceso de renderización de la zona de pruebas.
Android
03/09/20
Stickers enlazados a URLs sin permiso
Un problema de validación de URLs permitía el envío de stickers con enlaces URL que se abrían de forma automática sin el permiso del usuario.
Android IOS
03/09/20
Permitía la escritura fuera de límites en dispositivos de 32 bits
A través de las videollamadas un usuario podía habilitar la escritura fuera de límites en dispositivos de 32 bits.
Android IOS
03/09/20
Ejecución de código malicioso mediante mensajes de voz push to talk
Un atacante podía haber empleado la función push to talk del envío de mensajes para ejecutar código malicioso arbitrario.
IOS Mac Windows
21/01/20
Vulnerabilidad en vista previa de enlaces usando Desktop y iPhone
Una vulnerabilidad que combina WhatsApp Desktop y WhatsApp para iPhone hace posible, mediante un clic de la víctima sobre la vista previa de un enlace diseñado para ello, crear secuencias de comandos entre sitios y leer archivos locales.
Fuente:

2019

Android IOS Mac Windows WebApp
17/12/19
Cuelgues de la app en miembros de grupos
Mediante WhatsApp Web, Google Chrome y un servidor remoto en Python, el atacante puede modificar el nombre del participante de un grupo y provocar cuelgues entrando en un bucle infinito. La única solución pasaba por reinstalar la app, con la consiguiente perdida de datos del grupo.
Fuente:
Android
14/11/19
Hackeo de la app mediante archivos MP4
Mediante el envío a un contacto y la posterior descarga de un archivo MP4 junto a sus metadatos, se corrompía la memoria y se generaba un ataque DoS o RCE. Los atacantes podían espiar datos y robar archivo de forma remota.
Fuente:
Android
23/10/19
Desbordamiento de búfer en librerías Android
Se localiza un error de desbordamientos del búfer de pila en una librería de Android, concretamente llamada libpl_droidsonroids_gif antes de su versión 1.2.19 que podía permitir a un atacante remoto ejecutar código arbitrario y provocar una denegación de servicio. El error podía afectar a las versiones de WhatsApp Messenger Android anteriores a la versión 2.19.291.
Fuente:
Android
03/10/19
Ejecución de código remoto mediante la creación y envío de GIFs
Un fallo en una librería de Android relacionado con GIFs contenía una doble vulnerabilidad en la función DDGifSlurp. Mediante este agujero atacantes remotos podían ejecutar código y provocar una denegación de servicio al analizar GIFs específicamente diseñados para ese fin.
Fuente:
Android IOS
27/09/19
Ataques mediante etiquetas EXIF en imágenes WEBP
Un atacante podía usar las etiquetas EXIF de las imágenes de tipo WEBP para realizar una escritura fuera de los límites y desbordar las bibliotecas de análisis de medios.
Fuente:
Android IOS Mac Windows WebApp
08/08/19
Fallo en código permite la manipulación de mensajes (II)
Pese a que WhatsApp notificó haber solucionado esta vulnerabilidad, reportada inicialmente en agosto de 2018, los mismos investigadores descubren que el problema no se ha resuelto y sigue siendo posible manipular mensajes y hacerlos pasar cómo verídicos.
Fuente:
Mac Windows
16/07/19
Error al realizar la validación correcta de entrada
Un problema en el proceso de comprobación y entrada permitía enviar archivos maliciosos a usuario que se desplegaban con una extensión incorrecta.
Fuente:
Android
15/07/19
Media File Jackin
Detectado un error por el cual los archivos multimedia de WhatsApp y Telegram eran visibles entre sí a través del almacenamiento de tarjetas SD. De esta forma, era posible modificar un archivo o documento previamente a su envío.
Fuente:
Android IOS Windows
14/05/19
Brecha de seguridad con posibles ataques mediante llamadas telefónicas. Vulnerabilidad en la pila de búfer de WhatsApp VoIP. Ejecución remota de código mediante paquetes RTCP enviados a un número mediante llamadas telefónicas.
Un fallo de seguridad permitía el espionaje a través de llamadas telefónicas. Se sospecha que la empresa de ciberseguridad NSO aprovechó el fallo para ofrecer una herramienta de espionaje de forma comercial. Al recibir una llamada y sin necesidad de responderla, se instalaba un software espía. Las llamadas podían no dejar rastro. Periodistas, disidentes políticos, diplomáticos y miembros de gobiernos distintos fueron víctimas del software llamado Pegasus, que WhatsApp confirmaría después que habría afectado a en torno 1400 personas.
Android
10/05/19
Recuperación de mensajes enviados anteriormente
Un error en la lógica de desarrollo permitía que alguien con acceso a la cuenta pudiera recuperar mensajes enviados anteriormente. En cualquier caso, era necesario conocer los metadatos de esos mensajes, que en teoría no están disponibles públicamente.
Fuente:
IOS
28/01/19
Desbordamiento de pila al recibir llamadas en iOS
En WhatsApp para iOS, un fallo en el proceso de comprobación de tamaño al analizar paquetes en el remitente al recibir una llamada podía provocar un desbordamiento basado en la pila.
Fuente:
Android IOS Windows
28/01/19
Error de pila al fallar el cálculo de datos transmitidos al recibir llamadas
Error de escritura fuera del espacio asignado a la pila al recibir llamadas, en la asignación de pila no se estaban considerando de forma adecuada la cantidad de datos que se pasaban.
Fuente:

2018

Android IOS
10/10/18
Memory heap overflow al recibir videollamadas
Problemas de implementación de RTP, permite tomar el control de un cliente mediante una videollamada diseñada con ese propósito. Afecta a Android y a iOS, no a WhatsApp Web ya que usa WebRTC para esta función.
Android IOS Mac Windows WebApp
07/08/18
Fallo en código permite la manipulación de mensajes
Una brecha de seguridad detectada por una empresa externa permitía a los delincuentes interceptar y manipular mensajes enviados. El fallo permitía cambiar la respuesta de un participante, citar mensajes de personas que no habían escrito esos textos o enviar mensajes a miembros de grupos que pese a ser en apariencia grupales, solo eran visibles por ese usuario.
Fuente:
Android IOS Mac Windows WebApp
31/05/18
Fallo en el plugin de botones para compartir contenidos
El plugin Add Social Share Messenger Buttons WhatsApp and Viber 1.0.8 de MULTIDOTS para WordPress presenta un fallo a través del cual un atacante mediante phishing o ingeniera social podría lograr que el administrador de un sitio de WordPress cambiara la configuración del plugin mediante Cross-Site Request Forgery (CSRF) en wp-admin/admin-post.php.
Fuente:
Android IOS
23/05/18
Recepción de mensajes de contactos bloqueados
Los usuarios en redes sociales advierten que un usuario bloqueado puede seguir enviando mensajes. El error parece estar relacionado con una actualización de los clientes móviles de WhatsApp tanto de Android como de iPhone, y se resolvería poco después mediante una nueva actualización.
Android
28/01/18
Desbordamiento de pila al recibir llamadas en Android
En WhatsApp para Android, un fallo en el proceso de comprobación de tamaño al analizar paquetes en el remitente al recibir una llamada podía provocar un desbordamiento basado en la pila.
Fuente:
Android IOS Windows
28/01/18
Error en cabeceras RTP
Un análisis incorrecto de las cabeceras de extensión RTP hizo posible la lectura fuera de límites.
Fuente:

2017

WebApp
09/10/17
Monitorización de actividad de contactos en WhatsApp Web
El investigador Rob Heaten descubre un fallo en WhatsApp Web que permite monitorizar la actividad de contactos. Empleando una extensión de Chrome, registrando las horas de conexión pese a estar ocultas a la vista y comparando la información con la de otros contactos sería posible establecer pautas, rutinas e incluso conversaciones mantenidas entre ellos.
Fuente:
Android IOS Mac Windows WebApp
01/07/17
Autoinvitaciones a grupos
Investigadores alemanes alertan de un fallo por el cual una persona con acceso a los servidores de WhatsApp puede autoinvitarse en chats de grupo. Desde Facebook restan importancia, dado que como se ha dicho es necesario tener acceso a los servidores, cosa muy limitada, y además los participantes de los grupos pueden ver que se ha unido una nueva persona no invitada. Tampoco tienen acceso a los mensajes enviados con anterioridad.
Android
09/04/17
Información no eliminada de la tarjeta SD y accesible para otras apps
WhatsApp para Android no borra archivos enviados y recibidos de la tarjeta SD del dispositivo cuando se borra un chat o la app es desinstalada. Los datos de la tarjeta SD se almacenan sin encriptación y son accesibles a otras aplicaciones con permisos de acceso al almacenamiento. Según Facebook, no se trata de un error, sino del funcionamiento esperable para permitir a los usuarios exportar los datos.
WebApp
15/03/17
Robo de cuentas mediante fotos o vídeos
Una vulnerabilidad hacía posible enviar mensajes o vídeos normales en la previsualización pero que contenían código HTML, capaz de cargar el malware a través del navegador. De esta forma, era posible tomar el control total de la cuenta del usuario, leer sus mensajes, enviarlos o ver el contenido multimedia. La vulnerabilidad fue reportada el día 8 de marzo de ese mismo año, una semana antes. Cuando se hizo pública había sido solucionada.
Fuente:
Android IOS Mac Windows WebApp
13/01/17
Fallo de seguridad que permitiría leer los mensajes
El investigador alemán Tobias Boelter descubre un error en el cifrado de extremo a extremo de la app. Al generar las claves de seguridad mediante el protocolo Signal de Open Whysper Systems, se descubre que WhatsApp tiene la capacidad de forzar la creación de nuevas claves para usuarios offline. Muchos expertos en seguridad consideran que este error no es tal, y de hecho el medio The Guardian que publicó inicialmente el error se retractó en gran parte de sus palabras

2016

IOS
02/08/16
Las conversaciones no se borran
Tras la llegada del cifrado de mensajes un investigador descubrió un fallo en las librerías SQL que permitiría seguir el rastro de las conversaciones borradas con nuestros contactos. Según su análisis, solo sería posible borrar completamente una conversación borrando y reinstalando la app.
Android IOS Mac Windows WebApp
06/05/16
Fallo de cifrado de mensajes
Una empresa de seguridad informática rusa descubre cómo es posible espiar conversaciones utilizando los agujeros de seguridad del protocolo SS7. Conectando al nodo de la red que da servicio al terminal y aprovechando el error podían robar el SMS de autenticación y suplantar la identidad de los participantes. Esto podía ocurrir siempre que se utilizara la configuración de seguridad por defecto en este momento, cuando no estaba activada la opción "Mostrar notificaciones de seguridad" en los ajustes, que podía advertir al usuario de la existencia de un problema. En cualquier caso, es más error del protocolo que de WhatsApp.

2015

WebApp
08/09/15
Instalación de malware en PC mediante WhatsApp Web y una tarjeta vCard
Usando el cliente web en un PC, un atacante podía enviar una vCard con el código malicioso de un malware e instalarlo directamente en la computadora.
Fuente:
IOS
30/07/15
Acceso a chats ajenos en dispositivos iOS
Un estudiante de ingeniería informática alerta de que mediante un iPhone y un ordenador Linux puede extraer archivos enviados y recibidos y contactos.
Fuente:
Android IOS
30/05/15
Robo de cuenta a través de otro dispositivo
Un fallo en el proceso de identificación de usuarios permitía a un atacante tener acceso a nuestra cuenta. Instalando WhatsApp en un segundo dispositivo, conociendo el número de teléfono de la víctima y teniendo acceso a su teléfono, era posible robar la cuenta. Para ello, se inicia una nueva instalación con el número de la víctima, se solicita el código de verificación a través de una llamada en su móvil que podremos contestar sin desbloquear el teléfono y usaremos ese código en el segundo cliente. Hasta que la víctima pueda recuperar el uso de su cuenta, pasa una cantidad de minutos variable que es posible aprovechar para espiar todas las conversaciones.
IOS
26/05/15
Un bug relacionado con caracteres reinicia el teléfono
Un atacante remoto podía utilizar CoreText para provocar un ataque de denegación de servicio usando texto Unicode. Mediante el envío de diversos caracteres que no eran correctamente asimilados por la misma notificación, el mensaje provocaba el reinicio del teléfono.
Fuente:
Android IOS Windows
13/05/15
Hackeo de cuentas mediante el buzón de voz
El proceso de verificación de WhatsApp hace posible que una persona que conozca nuestro número de teléfono pueda robarnos la cuenta si tenemos el buzón de llamadas activo. Basta con instalar WhatsApp e iniciar el registro del número a una hora en la que la víctima posiblemente no esté pendiente de su teléfono. Al no responder la llamada de verificación, WhatsApp deja el mensaje en el buzón de voz si está activo, un buzón al que es posible llamar para conocer el código de verificación y tomar el control de la cuenta.
WebApp
29/01/15
Un error permite ver las fotos de usuarios de contactos que no tenemos en la agenda/Las imágenes borradas siguen siendo visibles en WhatsApp Web.
Indrajeet Buyhan descubre dos fallos de seguridad y privacidad. Por un lado, demuestra cómo las fotos de perfil de los usuarios son visibles aun cuando no tenemos el contacto en la agenda. Cualquiera puede ver nuestra foto aun cuando especificamos en la configuración que no sea así. El segundo error está relacionado con la sincronización de WhatsApp Web y los clientes móviles: al eliminar una foto en una conversación, esta se vuelve borrosa en los móviles e inaccesible, pero sigue estando disponible en la versión web del cliente.

2014

Android
01/12/14
Envío de mensajes capaces de corromper la conversación y obligar a su borrado
Dos adolescentes descubren un fallo por el cual mediante el envío de un mensaje de texto con un juego especial de caracteres de muy pequeño tamaño (apenas 2kb) se provocaba un error en la app, haciendo imposible acceder a esa conversación. No era un fallo de seguridad extremadamente grave, pero permitía corromper cualquier conversación obligando a borrarla e iniciar una conversación nueva. Corregido en la actualización 2.11.468.
Android
17/04/14
Envío de localizaciones sin encriptar
Un grupo de investigadores de la Universidad New Haven detectan un fallo de seguridad por el cual los mensajes con la localización de un contacto se envían sin encriptar, lo que permite interceptar el contenido de esos mensajes y conocer la posición real de un contacto usando un ataque man-in-the-midddle con programas como WireShark
Fuente:
Android
11/03/14
Robo de la base de datos de WhatsApp
Un ingeniero informático holandés alerta de que la base de datos de WhatsApp se almacena en la tarjeta SD de los terminales, y de que cualquier app con acceso a esa tarjeta SD podría conseguir el archivo. En un proceso transparente, los atacantes son capaces de copiar la base de datos y subirla a un servidor. Esta base de datos estaba cifrada mediante SQLite3, pero era posible descifrarla usando un scrypt de Phyton y WhatsApp Xtract. Según WhatsApp en una nota difundida días después, esos informes no daban una imagen real y eran exagerados: un uso responsable del software y del dispositivo, como en cualquier otra circunstancia, debería ser suficiente para no ser víctimas de un ataque.
Android IOS Windows
08/03/14
Brecha de seguridad permitiría falsificar mensajes
Dos investigadores presentan en la RootedCon 2014 una prueba de concepto que demuestra que es posible falsificar mensajes de WhatsApp sin dejar rastro.

2013

Android
22/11/13
Es posible saber la localización de un contacto a través de su dirección IP
La introducción de una nueva funcionalidad de descarga de imágenes asociadas a la compartición de enlaces URL permitiría a un atacante conocer la dirección IP de una persona y por tanto su ubicación. También otros datos útiles para la realización de ataques de denegación de servicio.
Android IOS Windows
03/11/13
Es posible desencriptar los mensajes enviados de WhatsApp
Pablo San Emeterio y Jaime Sánchez publican una investigación mediante la cual explican de forma detallada cómo funciona el sistema de cifrado de mensajes de WhatsApp y cómo, con esta información, es posible interceptar mensajes enviados y falsificarlos de cara a su receptor final. Como solución, inventan la app WhatsApp Privacy Guard. El problema está en el uso de la misma clave para cifrar dos mensajes, un fallo del protocolo de cifrado RC4.
Android IOS Windows
08/10/13
Problemas con el cifrado de WhatsApp
El investigador Thijs Alkemade detecta dos debilidades sobre el cifrado de mensajes de WhatsApp. Por un lado, descubre que alguien con acceso a los mensajes podría ser capaz de descifrar su contenido pese al cifrado empleado. Por otro, el uso de una misma clave RC4 permite los ataques man-in-the-middle capaces de interceptar paquetes.
Fuente:
Android IOS Windows
17/01/13
Brecha de seguridad habilita la aparición de WhatsApp Voyeur
Alejandro Amo publica el servicio web WhatsApp Voyeur como prueba de que cualquier persona puede conseguir información de los datos de perfil de WhatsApp sin tenerlos en la agenda, como fotos, estados o fechas. El servicio dejó de funcionar por amenazas legales. La realidad es que esto es posible con tan solo agregar un contacto a nuestra agenda.

2012

Android IOS Windows
04/05/12
WhatsApp Sniffer, mensajes en texto plano
Se lanza la app WhatsApp Sniffer, que permite espiar chats. En agosto de 2012 se anunciaría que WhatsApp comenzaba a cifrar los mensajes, sin especificar el protocolo. Los números de los teléfonos seguían siendo visibles.
Android IOS Windows
03/01/12
Aparece WhatsAppStatus, que permite cambiar el estado de cualquier contacto
Se publica un servicio web llamado WhatsAppStatus que aprovecha diferentes vulnerabilidades detectadas el mes anterior para permitir cambiar los estados de nuestros contactos de forma aleatoria. El error sería subsanado el día 6 de enero.
Fuente:

2011

Android IOS Windows
19/12/11
Actualizaciones arbitrarias de estado, fallos de registro y fallos relacionados con el texto sin formato
Se descubren numerosas vulnerabilidades relacionadas con los estados de los usuarios en la app, el proceso de registro y el protocolo de texto sin formato, lo que hace muy sencillo su interceptación.
Android IOS
10/12/11
Nace Whatsapp Xtract, es posible robar la base de datos de WhatsApp de un usuario
Un grupo de investigadores lanza WhatsApp Xtract, un software capaz de extraer y desencriptar la base de datos que WhatsApp almacena de forma local en los dispositivos. Según los informes, se puede acceder a esta base de datos cifrada, que almacena todos los mensajes entrantes y salientes, en dispositivos móviles rooteados o con jailbreak y se puede decodificar fácilmente ya que emplea siempre una misma clave estática y codificada.
Android IOS Windows
17/05/11
La información de contactos y los mensajes se envían como texto plano
Un investigador descubre que WhatsApp envía toda la información sin cifrar a través de la red, por lo que cualquier usuario puede ser víctima de espionaje mediante un ataque de tipo man-in-the-middle, que usando un software sniffer como WireShark es capaz de ver los datos que pasan a través del puerto 443. WhatsApp reconoció implícitamente que no había capa de seguridad extra al responder que los protocolos de seguridad aplicados eran los propios de las redes Wi-Fi y 3G.
Android
01/05/11
Un fallo de seguridad permitía secuestrar las cuentas de los usuarios
Problemas con la seguridad en el proceso de verificación o autenticación de número de teléfono. Un desarrollador localiza un fallo que permitía secuestrar la cuenta de un usuario de forma remota.