WhatsApp propiedad de Facebook ha revelado seis vulnerabilidades no reveladas anteriormente, que la compañía ahora ha solucionado. Las vulnerabilidades se informan en un sitio web de asesoramiento de seguridad dedicado que servirá como el nuevo recurso que proporcionará una lista completa de las actualizaciones de seguridad de WhatsApp y las vulnerabilidades y exposiciones comunes (CVE) asociadas.
WhatsApp dijo que cinco de las seis vulnerabilidades se solucionaron el mismo día, mientras que el error restante tardó un par de días en subsanarse. Aunque algunos de los errores podrían haberse desencadenado de forma remota, la compañía dijo que no encontró evidencia de que los piratas informáticos explotaran activamente las vulnerabilidades.
Alrededor de un tercio de las nuevas vulnerabilidades se informó a través del Programa Bug Bounty de la compañía, mientras que las otras se descubrieron en revisiones de código de rutina y mediante el uso de sistemas automatizados, como era de esperar.
WhatsApp es una de las aplicaciones más populares del mundo con más de dos mil millones de usuarios en todo el mundo. Pero también es un objetivo persistente para los piratas informáticos, que intentan encontrar y explotar vulnerabilidades en la plataforma.
El nuevo sitio web se lanzó como parte de los esfuerzos de la compañía para ser más transparente sobre las vulnerabilidades que apuntan a la aplicación de mensajería y en respuesta a los comentarios de los usuarios. La compañía dice que la comunidad de WhatsApp ha estado solicitando una ubicación centralizada para rastrear las vulnerabilidades de seguridad, ya que WhatsApp no siempre puede detallar sus avisos de seguridad en las notas de lanzamiento de una aplicación debido a las políticas de la tienda de aplicaciones.
El nuevo panel se actualizará mensualmente, o antes si tiene que advertir a los usuarios de un ataque activo. También ofrecerá un archivo de CVE anteriores que se remontan a 2018. Si bien el enfoque principal del sitio web estará en los CVE en el código de WhatsApp, si la empresa presenta un CVE con la base de datos pública MITRE para una vulnerabilidad que encontró en el código de terceros, denotará que en el WhatsApp Página de avisos de seguridad, también.
El año pasado, WhatsApp se hizo público después de corregir una vulnerabilidad supuestamente utilizada por el fabricante israelí de software espía NSO Group. WhatsApp demandó al fabricante de software espía, alegando que la empresa utilizó la vulnerabilidad para enviar de forma encubierta su software espía Pegasus a unos 1.400 dispositivos, incluidos más de 100 defensores de los derechos humanos y periodistas.
NSO negó las acusaciones.
John Scott-Railton, investigador principal de Citizen Lab, cuyo trabajo ha incluido la investigación de NSO Group, dio la bienvenida a la noticia.
“Esto es bueno, y sabemos que los malos actores hacen uso de amplios recursos para adquirir y convertir en armas las vulnerabilidades”, dijo a TechCrunch. “WhatsApp enviando la señal de que se moverá regularmente para identificar y parchear de esta manera parece ser otra forma de aumentar el costo para los malos actores”.
En una publicación de blog, WhatsApp dijo: “Estamos muy comprometidos con la transparencia y este recurso está destinado a ayudar a la comunidad tecnológica en general a beneficiarse de los últimos avances en nuestros esfuerzos de seguridad. Recomendamos encarecidamente a todos los usuarios que se aseguren de mantener actualizado su WhatsApp en sus respectivas tiendas de aplicaciones y que actualicen sus sistemas operativos móviles siempre que haya actualizaciones disponibles “.
Facebook también dijo el jueves que ha codificado su política de divulgación de vulnerabilidades, lo que permite a la compañía advertir a los desarrolladores sobre vulnerabilidades de seguridad en el código de terceros en el que confían Facebook y WhatsApp.
Source link