Un total de cuatro fallos de seguridad críticos en WhatsApp Web expusieron los dispositivos de los usuarios, a los que un atacante podía acceder a través del envío de un mensaje, con apariencia legítima, pero con contenido malicioso.

WhatsApp web es la versión para computadoras (PC y Mac) de WhatsApp que permite al usuario acceder a las funciones de la aplicación desde su escritorio. Puede ejecutarse como una pestaña del navegador de internet o a través de un archivo ejecutable en nuestro escritorio.

Las vulnerabilidades, que han sido descubiertas por los investigadores de la compañía de ciberseguridad Perimeter X, se basan en el cross-site scripting, un agujero de seguridad que permite a un tercero inyectar código Javascript o similar en una aplicación web.

En WhatsApp, cuando el usuario envía un mensaje que contiene un enlace, la aplicación añade una previsualización con información adicional, como el nombre de la página y su descripción, para que el receptor sepa dónde está haciendo clic. No obstante, estos datos provienen del emisor del mensaje y pueden alterarse de forma malintencionada.

Aprovechándose de esto, un atacante podría utilizar un mensaje malicioso modificado pero con apariencia de legítimo, cambiar la URL del enlace e introducir código malicioso Java escondido a través del cross-site scripting.

Mediante esta técnica, el atacante puede hacerse con acceso a los archivos del sistema de WhatsApp y ejecutar código de forma arbitraria en el dispositivo a través de la aplicación del usuario que reciba el chat malicioso.

Este fallo está presente solo en algunos navegadores como en Safari y en versiones antiguas de Edge, pero no en otros basados en Chromium, según la investigación, y se debe al uso en WhatsApp de la herramienta de desarrollo de aplicaciones Electron, basada en versiones antiguas de Chromium aún afectadas por el problema.

Tras descubrir estas vulnerabilidades, los investigadores de Perimeter X han informado a Facebook, compañía propietaria de WhatsApp desde 2014, y estos fallos se han solucionado a través de un parche de seguridad en WhatsApp Web para PC y Mac distribuido el 21 de enero.