Hallada vulnerabilidad en la nueva función biométrica de Whatsapp

La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica.

Resultado de imagen de whatsapp biometricExtraído de dignited.com

Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.

El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.

Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.

Según el usuario, el proceso para explotar esta falla es:

  • Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
  • Pulsar el icono de WhatsApp en la iOS Share Sheet.
  • Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
  • Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).

Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.

Más información:

Security Newspaper

  • https://www.securitynewspaper.com/2019/02/22/vulnerability-in-new-whatsapp-biometrics-feature-is-found/

Cibercriminales están explotando activamente una vulnerabilidad Drupal

Una vulnerabilidad descubierta recientemente en Drupal esta siendo explotada activamente por cibercriminales

El pasado 19 de Febrero se hizo pública una nueva vulnerabilidad (CVE-2019-6340) para el sistema de gestión de contenidos Drupal, justo después de que sus desarrolladores publicasen una nueva versión que la resuelve.
El fallo de seguridad es del tipo RCE (Remote Code Execution), es decir, que la explotación de la vulnerabilidad permite la ejecución remota de código en el servidor en el que se aloja Drupal.
El fallo se trata de un ‘Object Injection’, una vulnerabilidad típica en aplicaciones desarrolladas en PHP, y que consiste en proporcionar un objeto PHP serializado a través de una petición HTTP que será posteriormente deserializado en el servidor. Dicha deserialización transformará el objeto serializado en un objeto real PHP que podrá ejecutar código.
Aunque haya sido corregida, aún muchos usuarios de este popular gestor de contenidos no han tenido la oportunidad de actualizar a la nueva versión para estar protegidos. Por ello, los cibercriminales están aprovechando la situación explotando este fallo de seguridad para comprometer el sistema e inyectar en las webs código JavaScript para minar criptomonedas. Este código JavaScript pertenece a CoinIMP, un servicio de minado de criptomonedas para navegadores similar a CoinHive.
Desde Hispasec, como siempre, os recomendamos actualizar lo antes posible vuestro Drupal para estar protegidos frente a estos ataques.