WhatsApp Vulnerado, perspectivas y consecuencias.

El 13 de mayo, más de mil millones de usuarios vieron cómo se actualizaba la aplicación de mensajería WhatsApp. Al mismo tiempo, aparecieron informes de que se había utilizado una vulnerabilidad en ataques dirigidos a un número de usuarios desconocido pero selecto y que estaba orquestada por usuario muy avanzado.

Facebook, el propietario de WhatsApp, informó que solucionó una vulnerabilidad (un desbordamiento de búfer, un tipo de vulnerabilidad bastante conocido) que, según los medios de comunicación (ver referencias a continuación), para detectarlo se utilizó en el producto de software espía Pegasus del Grupo NSO, un reconocido software espía israelí. Empresa que vende software a gobiernos y agencias de inteligencia de todo el mundo.

Tres observaciones:

• A pesar de los mejores esfuerzos, existen errores en el software: si se encuentran errores críticos en los sistemas de comunicación globales, pueden tener un impacto global. Hay dos observaciones adicionales, WhatsApp es un objetivo valioso, y si existen errores, serán encontrados y explotados.

• Un elemento que permite mantener (o restaurar) la confianza en este tipo de software es un proceso que permite que los errores se informen, se reparen rápidamente y se implementen automáticamente. Hay sectores de la industria que pueden aprender de cómo maneja esto Facebook.

• El uso de software espía como este no se puede contener, un artículo de Financial Times sugiere que claramente: el software de la NSO se ha usado contra abogados involucrados en una demanda contra el Grupo de la OSN y contra varios grupos de derechos civiles.

En un extenso artículo publicado el día de ayer se lee…

NSO Group is a notorious Israeli cyber-arms dealer whose long trail of sleaze has been thoroughly documented by the University of Toronto’s Citizen Lab (which may or may not be related to an attempt to infiltrate Citizen Lab undertaken by a retired Israeli spy); NSO has been implicated in the murder and dismemberment of the dissident Saudi journalist Jamal Khashoggi (just one of the brutal dictatorships who’ve availed themselves of NSO tools), and there seems to be no cause too petty for their clients, which is why their malware has been used to target anti-soda activists in Mexico. Now, NSO has been caught deploying its “Pegasus” malware via a new and frightening defect in Facebook’s Whatsapp messenger. Facebook’s description of the bug is that it is “A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of SRTCP packets sent to a target phone number.” Practically speaking, that means that someone who initiates a Whatsapp call to your Iphone or Android device can seize control of the device, even if you don’t answer the call.

If you use Whatsapp, you should update it now.

This vulnerability was used to target a lawyer in London involved in lawsuits against NSO Group over its role in attacks against “the phones of Omar Abdulaziz, a Saudi dissident in Canada; a Qatari citizen; and a group of Mexican journalists and activists.” Citizen Lab suspects that other targets were attacked with Pegasus over Whatsapp. Amnesty International has called on the government of Israel to rescind NSO’s export license, based on its long track record of abetting human rights abuses. NSO is part-owned by the UK private equity firm Novalpina, which valued NSO at $1b.

The firm has been on a public-relations campaign in recent months to show its value to law enforcement, and has cited several examples of its spyware’s being used, it says, to capture drug kingpins and to stop terrorist attacks. “NSO and Novalpina have spent several months telling the world that there are adults in the room and telegraphing that they have made a commitment to close oversight,” said John Scott-Railton, a senior researcher at Citizen Lab. “Yet even 24 hours ago, we observed what some believe to be an NSO infection attempt against a human-rights lawyer. “As this case makes it very clear — if indeed this was NSO — there is still a very serious abuse problem,” Mr. Scott-Railton added.

Israeli Firm Tied to Tool That Uses WhatsApp Flaw to Spy on Activists [Nicole Perlroth and Ronen Bergman/The New York Times]

El uso de errores de software para obtener acceso a los dispositivos cifrados y la comunicación de los usuarios también es uno de los enfoques que también se presenta en el contexto del acceso legal por parte de las autoridades. Sin embargo, el acaparamiento de vulnerabilidades nos pone a todos en riesgo. Cuando se encuentran errores de este tipo, se puede informar que corrigen el software, se utilizan para crear un exploit o se venden a terceros.  El conocimiento de un error explotable se puede vender a múltiples partes. Si bien podría decirse que es especulativo, no se puede estar seguro de que el Grupo NSO fuera la única entidad con conocimiento de la vulnerabilidad. Este ejemplo muestra claramente que las explotaciones de errores no intencionales están socavando la seguridad de más de mil millones de usuarios de WhatsApp, y que representan un riesgo para la seguridad nacional y la seguridad personal. Solo se puede imaginar cuál podría ser el efecto de la introducción de vulnerabilidades intencionales, que es lo que están haciendo las metodologías de acceso legal recientes propuestas hasta ahora.

Mientras los Ministros Digitales de los países del G7 se preparan para reunirse mañana, el hecho sirve como ejemplo real de una de las razones por las que Internet Society exige una comunicación sólida y segura, y se opone a las metodologías de acceso legal que debilitan la seguridad, no solo de La tecnología de cifrado en sí misma, sino también de los dispositivos y aplicaciones que la ofrecen. Es un momento crítico para defender comunicaciones sólidas y seguras, si estás en las redes sociales, usa el hashtag # G7 y únete a nosotros y pídeles a los líderes mundiales que apoyen un cifrado sólido y seguro para todos.

Se pueden encontrar otras referencias en: https://www.ft.com/content/7f2f39b2-733e-11e9-bf5c-6eeb837566c5 y https://www.ft.com/content/4da1117e-756c -11e9-be7d-6d846537acab) y varios otros puntos de vista

El cifrado está bajo amenaza en todo el mundo. Depende de cada uno de nosotros tomar medidas.

Esta entrada fue publicada en Sin categoría. Guarda el enlace permanente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *