Vulnerabilidades en WhatsApp

Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a
la integridad y confidencialidad de los datos y mensajes de los usuarios
de esta aplicación.

WhatsApp Messenger, o simplemente WhatsApp como se conoce comúnmente,
es un cliente de mensajería instantánea disponible para múltiples
plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y
Symbian. Permite el envío de mensajes de texto, imágenes, audio y
videos, aunque su característica principal es que no es necesario
crear un nombre de usuario y compartirlo con los demás contactos
sino que utiliza el propio número de teléfono como ID y busca
automáticamente en la agenda a otros contactos que utilicen este
programa.

Las vulnerabilidades que han sido reveladas son las siguientes:

* Es posible cambiar el estado de un usuario simplemente proporcionando
el número de teléfono registrado en WhatsApp y el texto con el mensaje
del nuevo estado ya que no se requiere ninguna autenticación o
autorización previa a dicha acción.

* La función que comprueba el código que se envía durante el proceso
de registro de un nuevo número de teléfono es vulnerable a ataques de
fuerza bruta, lo cual podría permitir que un atacante remoto registre
de números de teléfono arbitrarios y suplante la identidad de estos
usuarios.

* El tráfico de datos a través del protocolo XMPP de WhatsApp no está
cifrado, lo cual podría ser aprovechado por un atacante remoto para
llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar,
recibir, e incluso modificar mensajes que están destinados a otra
persona.

Estas vulnerabilidades no tienen asignado ningún identificador CVE.

La empresa desarrolladora ha impuesto, como medida de protección ante la
segunda vulnerabilidad, una limitación de 10 intentos para introducir el
código enviado. Sin embargo no se ha pronunciado al respecto de las
otras dos vulnerabilidades.

Fuente