Meta anunció el martes que ha proporcionado una herramienta llamada WhatsApp Research Proxy a algunos investigadores que durante mucho tiempo han ofrecido recompensas por errores para ayudarlos a mejorar sus programas e investigar de manera más efectiva los protocolos de red de la plataforma de mensajería.
El objetivo es facilitar la exploración de la tecnología única de WhatsApp, ya que sigue siendo una superficie de ataque lucrativa para atacantes patrocinados por el estado y proveedores comerciales de software espía.
La compañía también señaló que está lanzando una iniciativa piloto para invitar a un equipo de investigación a centrarse en explotar la plataforma, con el apoyo de ingeniería y herramientas internas. «Nuestro objetivo es reducir la barrera para que los académicos y otros investigadores que están menos familiarizados con las recompensas por errores participen en nuestro programa», añadió.
El avance se produce después de que el gigante de las redes sociales anunciara que ha otorgado más de 25 millones de dólares en recompensas por errores a más de 1.400 investigadores en 88 países durante los últimos 15 años, con más de 4 millones de dólares pagados solo este año por alrededor de 800 informes válidos. Según Meta, en total se recibieron unas 13.000 solicitudes.
Algunos de los hallazgos de errores notables incluyen un error de validación incompleta en WhatsApp anterior a WhatsApp v2.25.23.73, WhatsApp Business para iOS v2.25.23.82 y WhatsApp para Mac v2.25.23.83 que podría permitir a un usuario activar el procesamiento de contenido recuperado de cualquier URL en el dispositivo de otro usuario. No hay evidencia de que este problema haya sido explotado en la naturaleza.
Meta también lanzó un parche a nivel del sistema operativo para mitigar el riesgo que plantea la vulnerabilidad rastreada como CVE-2025-59489 (puntuación CVSS: 8,4). Esta vulnerabilidad podría permitir que una aplicación maliciosa instalada en un dispositivo Quest manipule aplicaciones Unity y ejecute código arbitrario. Al investigador de Flatt Security, RyotaK, se le atribuye el descubrimiento y el informe de esta falla.
3.500 millones de números de teléfono expuestos por un simple fallo de seguridad en WhatsApp
Finalmente, Meta dijo que agregó protección anti-scraping a WhatsApp luego de un informe que detalla una nueva forma de enumerar masivamente cuentas de WhatsApp de 245 países y eludir las restricciones de limitación de velocidad del servicio para crear un conjunto de datos que incluya a todos los usuarios. WhatsApp tiene alrededor de 3.500 millones de usuarios activos.
Este ataque aprovecha la función legítima de descubrimiento de contactos de WhatsApp, que requiere que los usuarios verifiquen primero si sus contactos están registrados en la plataforma. Básicamente, esto permite al atacante editar información básica de acceso público, junto con la imagen de perfil, el texto Acerca de y las marcas de tiempo asociadas con actualizaciones clave relacionadas con los dos atributos. Meta dijo que no encontró evidencia de que este vector fuera utilizado en una situación maliciosa.
Curiosamente, el estudio encontró que millones de números de teléfono están registrados en WhatsApp en países donde WhatsApp está oficialmente prohibido, incluidos 2,3 millones en China y 1,6 millones en Myanmar.
«Normalmente un sistema no debería responder a tantas solicitudes en un período de tiempo tan corto, especialmente si provienen de una única fuente», afirmó Gabriel Gegenhuber, investigador de la Universidad de Viena y autor principal del estudio. «Este comportamiento expuso una falla fundamental que le permitió emitir solicitudes prácticamente ilimitadas al servidor y, al hacerlo, mapear los datos de los usuarios en todo el mundo».
«Ya estamos trabajando en sistemas anti-scraping líderes en la industria, y esta investigación nos ayudó a realizar pruebas de estrés y confirmar la efectividad inmediata de estas nuevas defensas», dijo Nitin Gupta, vicepresidente de ingeniería de WhatsApp, a Hacker News en un comunicado.
«Es importante destacar que los investigadores eliminaron de forma segura los datos que recopilaron como parte de su investigación, y no hemos encontrado evidencia de que actores maliciosos estén explotando este vector. Como recordatorio, gracias al cifrado de extremo a extremo predeterminado de WhatsApp, los mensajes de los usuarios permanecen privados y seguros, y los investigadores no pudieron acceder a ningún dato no público».
A principios de este año, Gegenhuber y sus colegas también demostraron otro estudio titulado Careless Whisper, que mostró cómo los recibos de entrega pueden plantear importantes riesgos de privacidad para los usuarios, permitiendo a los atacantes enviar mensajes especialmente diseñados que pueden activar recibos de entrega y extraer su estado de actividad sin el conocimiento o consentimiento del usuario.
«Al utilizar esta técnica con alta frecuencia, demostramos cómo los atacantes pueden extraer información personal, incluido el seguimiento de los usuarios a través de diferentes dispositivos complementarios, infiriendo los horarios diarios de los usuarios e infiriendo sus actividades actuales», dijeron los investigadores.
«Además, es posible inferir el número de sesiones de usuario actualmente activas (dispositivos principales y complementarios) y sus sistemas operativos, y lanzar ataques de agotamiento de recursos, como agotar la batería o la capacidad de datos del usuario, sin generar notificaciones en el lado objetivo».
(Artículo actualizado después de la publicación para incluir una respuesta de WhatsApp y aclarar que Unity parchó y publicó CVE-2025-59489).
Source link
