Enlace de WhatsApp puede robar tus contactos
La vulnerabilidad se sirve de la variable «name», usada dentro de WhatsApp
Se ha detectado un nuevo ataque a la vulnerabilidad de WhatsApp. En este caso, un enlace de WhatsApp puede robar tus contactos. Este tipo de enlaces infectados se han usado con asiduidad en la famosa red social. Las víctimas se meten en la página mientras el servidor les roba información. Así, en algunas de las versiones, el atacante puede obtener los contactos de nuestra agenda o el nuestro propio.
El procedimiento ha sido descubierto por Daniel Sesé, un investigador de ciberseguridad. Para llevar a cabo el ataque, el servidor malicioso recibe peticiones simples GET con el valor «name» y las va almacenando en un fichero de texto. De esa manera, el cibercriminal solo tiene que seleccionar su víctima y enviar un enlace. Una vez que la víctima pincha en él, la variable «name» se tranforma en el nombre de contacto. WhatsApp se encargaría de enviar el dato al servidor malicioso sin que el usuario se dé cuenta.
La vulnerabilidad se sirve de que la variable «name» se usa internamente en WhatsApp. Según se ha descubierto, su comportamiento cuando llegan estos enlaces no está controlado. Asimismo, si el enlace que recibe la víctima lleva su propio número, envía el «nickname» que usó para registrarse. Algo parecido ocurre con los números no añadidos en la agenda; se envía el apodo usado.
Desde Facebook, propietarios de WhatsApp, aún no se ha emitido ningún comunicado. El enlace de WhatsApp puede robar tus contactos con gran facilidad. Podéis encontrar el procedimiento al detalle en “El lado del mal“. Allí podemos ver un vídeo que demuestra lo absurdamente fácil que es crear el enlace y usarlo. Con el fin de evitarlo, se aconseja no pinchar en ningún enlace sospechoso. De igual manera, os aconsejamos visitar esta página para proteger vuestro WhatsApp. Y si no estáis tranquilos, aquí mismo ya os explicamos cómo evitar que compartan vuestros datos con Facebook.
Fuente TICBeat
