2 votos

Razorlance avatar

Problema de día cero en WhatsApp Messenger: ¿Cómo actualizar?

Preguntado el 14 de Mayo, 2019
Cuando se hizo la pregunta
295 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Resulta que WhatsApp Messenger está afectado por una vulnerabilidad explotable de desbordamiento de búfer, que puede utilizarse para hacerse con el control del teléfono con "cero clics", realizando una llamada mediante paquetes especialmente diseñados:

El Registro :

Estamos en 2019 y una llamada de WhatsApp puede hackear un teléfono : Un exploit de día cero infecta a móviles con programas espía

también

The Verge :

Actualiza ya WhatsApp para evitar la instalación de spyware por una simple llamada perdida : El programa espía NSO Pegasus puede encender la cámara y el micrófono del teléfono y recopilar correos electrónicos, mensajes y datos de localización.

y, originalmente el Financial Times (lamentablemente, de pago):

Llamadas de voz de WhatsApp utilizadas para inyectar software espía israelí en teléfonos

Lectura del artículo de El Registro :

Un fallo de seguridad en WhatsApp puede ser, y ha sido, explotado para inyectar espía en los smartphones de las víctimas: basta con que un fisgón haga una una llamada de voz trampa al número del objetivo y ya está dentro. La víctima de víctima no tiene que hacer nada más que dejar el teléfono encendido.

Los ingenieros de Facebook se afanaron durante el fin de semana para tapar el agujero, designado CVE-2019-3568, y las nuevas versiones seguras de WhatsApp se distribuyeron a los usuarios el lunes. Si tu teléfono te ofrece actualizar WhatsApp por ti, hazlo o busca nuevas versiones manualmente. La vulnerabilidad vulnerabilidad está presente en las versiones de Google Android, Apple iOS y Microsoft Windows Phone de la aplicación, utilizada por 1.500 millones de personas. mil millones de personas en todo el mundo.

Vale, genial. No pertenezco al grupo de pobres que protestan contra sus desagradables gobiernos ni al de los desagradables que protestan contra sus gobiernos por otros medios, pero quiero actualizarme de todos modos.

Facebook reparte este miniconsejo :

CVE-2019-3568

Descripción: Una vulnerabilidad de desbordamiento de búfer en la pila VOIP de WhatsApp permitía la ejecución remota de código a través de una serie de paquetes SRTCP especialmente diseñados enviados a un número de teléfono objetivo.

Versiones afectadas: El problema afecta a WhatsApp para Android anterior a v2.19.134, WhatsApp Business para Android anterior a v2.19.44, WhatsApp para iOS anterior a v2.19.51, WhatsApp Business para iOS anterior a v2.19.51, WhatsApp para Windows Phone antes de v2.18.348, y WhatsApp para Tizen anterior a v2.18.15.

Última actualización: 2019-05-13

Tenga en cuenta que CVE-2019-3568 es no figura (aún) en la base de datos del NIST : CVE ID no encontrado.

Ahora, estoy un poco confundido. He comprobado la versión de la aplicación WhatsApp en mi Samsung:

  • Iniciar WhatsApp
  • Ir al menú con el punto triple ()
  • Seleccione "Configuración" en el menú que aparece
  • Seleccione "Ayuda" en el menú que aparece
  • Seleccione "App Info" en el menú que aparece
  • Verás algo como "WhatsApp Messenger" Versión 2.19.134

(¿Por qué es tan complicado? Google debería exigir que las aplicaciones depositaran su cadena de versiones en una base de datos fácilmente perutilizable, como mandaría la cordura. En fin...)

Tengo la versión 2.19.134. De acuerdo con el aviso de Facebook, que debería ser bien .

Pero cuando compruebo en el Play Store Veo "Última actualización 10 de mayo de 2019", es decir, antes del fin de semana. Aquí no se da información de la versión, alguien en la oficina de diseño necesita que le den latigazos. ¿Y hay un registro de cambios en alguna parte?

Por último, cuando voy a https://www.whatsapp.com/Android/ Me dicen que puedo "Descargar ahora" la versión 2.19.137, que es tres ticks menores que la versión que tengo.

Así que..:

  1. ¿Debería no preocuparme porque estoy en la versión segura (sobre la que ahora tengo información contradictoria).
  2. ¿Debería esperar a que WhatsApp Messenger se actualice por sí mismo (lo que presumiblemente ocurrirá pronto, o tal vez pueda activarse explícitamente)?
  3. ¿Debo instalar la versión en https://www.whatsapp.com/Android/ en lugar de utilizar la Play Store (ni siquiera estoy seguro de que funcione).

Actualización

Para mayor lulz, la pantalla "Notificación de actualización": Muestra que Whatsapp Messenger se ha actualizado "hace 2 días" (es decir, alrededor del lunes), pero no da el número de la nueva versión y, tímidamente, no dice nada sobre ningún problema de seguridad.

Updates applied, as shown via the notification popup

Preguntado el 14 de Mayo, 2019 por Razorlance

0 votos

Avatar de Razorlance

Kaspersky dice en Una llamada de WhatsApp basta para establecer la vigilancia : Nuestra mejor sugerencia por el momento es que te asegures de que tu WhatsApp está actualizado. Para ello, ve a la App Store de Apple o a Google Play Store, busca WhatsApp y pulsa Actualizar. Si no aparece el botón "Actualizar", pero en su lugar ves el botón "Abrir", significa que tienes la última versión de WhatsApp y que ya está parcheada contra este tipo de ataques. Esto significa que tengo "una última" versión pero no "la última" versión. Esta falta de información me parece preocupante.

Comentado el 14 de Mayo, 2019 por Razorlance

Respuestas

¿Demasiados anuncios?

6voto

Firelord avatar
Firelord Puntos 161

En los casos de vulnerabilidad de software propietario, junto con la falta de pruebas de concepto e información técnica detallada sobre la explotación, hay que confiar en la palabra de los desarrolladores de los programas, seguir sus instrucciones, y confórmate con estar a salvo .

Si tu WhatsApp muestra que estás en la v2.19.134, entonces debe ser esa. Tengo entendido que hay discrepancias entre las versiones que se muestran a los usuarios en Play Store y en el sitio web de WhatsApp. En Play Store, a mí también me muestra la 2.19.134 como la última versión, y eso que se actualizó el 10 de mayo de 2019. En APKMirror, hay no estable 2.19.139 a partir de ahora, y Appbrain está de acuerdo contigo aquí con 2.19.134 como la última actualización el 10 de mayo rastreó.

¿Debería no preocuparme porque estoy en la versión segura (sobre la que ahora tengo información contradictoria).

No tiene información contradictoria. Su Play Store muestra 2.19.134 y así como la propia aplicación. Habría sido contradictorio si estos dos no coinciden.

¿Debería esperar a que WhatsApp Messenger se actualice por sí mismo (lo que presumiblemente ocurrirá pronto, o tal vez pueda activarse explícitamente)?

¿Debo instalar la versión en https://www.whatsapp.com/Android/ en lugar de utilizar la Play Store (ni siquiera estoy seguro de que funcione).

En Aviso de Facebook menciona claramente que las versiones anteriores a la 2.19.134 están afectadas. Mientras tengas la versión 2.19.134 o superior estás a salvo (según Facebook). No hay necesidad de preocuparse por qué el sitio web oficial tiene alguna versión superior disponible. Siempre puedes intentar instalar esa versión. Si la firma no coincide con la versión sideloaded la aplicación no se instalará, y usted debe poner este asunto a descansar. Si coincide, tendrás la última versión de la aplicación y debería funcionar.

Respondido el 14 de Mayo, 2019 por Firelord (161 Puntos )

0 votos

Avatar de Death Mask Salesman

Por lo que sé, el WhatsApp de la Play Store es estable, mientras que la web alberga versiones beta.

Comentado el 14 de Mayo, 2019 por Death Mask Salesman

0 votos

Avatar de Firelord

@DeathMaskSalesman ¿Hay alguna manera de saber si mi apk es una versión beta o de otro tipo? He probado a mirar en el manifiesto de las apks tanto de Play Store como de la web de WhatsApp y no sé qué más buscar. El nombre del paquete es el mismo para ellos.

Comentado el 15 de Mayo, 2019 por Firelord

1 votos

Avatar de Razorlance

Parece un buen consejo. Pero el aviso de Facebook es una mierda. La versión 2.19.134 salió antes del fin de semana (el viernes), y todos los churnalistas dicen que "trabajaron en ella durante el fin de semana". Por lo tanto, información contradictoria: Alguien miente o el aviso es erróneo.

Comentado el 15 de Mayo, 2019 por Razorlance
Mostrar 2 comentarios más

1voto

Z Z avatar
Z Z Puntos 111

Le recomiendo que utilice la última versión disponible (2.19.137) de https://www.whatsapp.com/Android/

De todas formas, es desde donde suelo actualizar. Lo probé hace unas horas y sí funciona.

Pero no tengo forma de verificar que soluciona el problema, ya que no se han encontrado notas de la versión.

Respondido el 14 de Mayo, 2019 por Z Z (111 Puntos )

0 votos

Avatar de Death Mask Salesman

No estoy seguro de que la versión de Play Store de WhatsApp sea compatible con la de la web. Si sus firmas son diferentes, OP no será capaz de actualizar sin desinstalar la aplicación en primer lugar.

Comentado el 14 de Mayo, 2019 por Death Mask Salesman

0 votos

Avatar de Z Z

No puedo confirmar ya que no uso playstore.... Consigo apk de lugares alternativos e instalar. Pero hay que configurar Android para permitir apk de otras fuentes. Pero soy capaz de instalar en la parte superior de las versiones anteriores.

Comentado el 14 de Mayo, 2019 por Z Z

0 votos

Avatar de Death Mask Salesman

Significa que las firmas son las mismas.

Comentado el 14 de Mayo, 2019 por Death Mask Salesman

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X