Así de fácil es hackear tu móvil con un vídeo infectado por WhatsApp

08/02/2020 – 07:05

Fuente:https://computerhoy.com

 

¿Sabías que te pueden hackear el móvil simplemente enviándote un vídeo por WhatsApp, y acceder a todos tus mensajes, llamadas, contactos y datos? Vamos a ver cómo es posible, y cómo evitarlo.

Hasta hace poco, para hackear el móvil era necesario instalar un virus a través de una descarga, una tarjeta SD o un ordenador al que lo conectabas. Ahora los ciberdelincuentes (y las agencias de espionaje gubernamentales) se han vuelto más sofisticados, y son capaces de hackear un móvil simplemente enviando un vídeo por WhatsApp. ¿Cómo es posible? Vamos a explicar cómo funciona y cómo puedes prevenirlo.

Hace unos años el máximo responsable de Android, el entonces desconocido Sundar Pichai, dijo textualmente que “Android no se había diseñado para ser seguro“. Fue duramente reprendido por sus jefes y tuvo que desdecirse, pero el actual CEO de Google tenía toda la razón.

Android no se diseñó para ser seguro, sino para competir con el iPhone y evitar que Apple se quedara con el monopolio de los smartphones. Costó muchos años que Android se convirtiese en un sistema seguro, y aún así los delincuentes se las arreglan para encontrar minúsculos agujeros en el sistema operativo o las apps, con el objetivo de colarse dentro y robar todo lo que pueden. O incluso peor: espiar a su antojo. También el iPhone, que sí se diseñó con la seguridad en mente, sufre ataques a una escala similar.

Los móviles son cada vez más seguros, pero los mejores hackers del mundo se las apañan para romper su seguridad. Y no hablamos solo de delincuentes, sino de agencias gubernamentales de países como Estados Unidos, China, Rusia, Corea del Norte o Arabia Saudí, que crean sofisticados sistema de hackeo para espiar a políticos, personalidades y hombres de negocios de potencias rivales.

La última víctima muy conocida que podría haber sido hackeada con un vídeo, es el mismísimo fundador de Amazon, Jeff Bezos. ¿Qué ha ocurrido?

El extraño vídeo de la bandera sueca

Hace unos meses, Jeff Bezos lanzó un extraño comunicado: anunció que su móvil había sido hackeado, y que le estaban extorsionando bajo amenaza de publicar fotos y mensajes íntimos.

Hace unos días, la web Motherboard tuvo acceso a un informe de la consultora FTI Consulting, que había sido contratada para investigar el hackeo, en donde concluye que Jeff Bezos podría haber sido hackeado con un vídeo de WhatsApp con una probabilidad “alta“, culpando a los servicios de espionaje del príncipe heredero de Arabia Saudí, Mohamed bin Salmán.

Según este informe, los expertos en seguridad que analizaron el móvil de Bezos estuvieron dos días buscando malware, pero no encontraron nada. El iPhone estaba limpio de virus y software espía. Sin embargo, algo llamó su atención: un vídeo de WhatsApp que no tenía explicación.

En abril de 2018, Jeff Bezos conoció al príncipe heredero de Arabia Saudí, Mohamed bin Salmán, en un evento social en Los Ángeles. Charlaron un rato y, como suele ser habitual entre personas influyentes y poderosas, se intercambiaron el número de móvil. Días más tarde se escribieron mensajes por WhatsApp, los típicos saludos de cortesía.

Pero apenas un mes después, algo extraño ocurrió: sin ninguna explicación ni razón lógica, Jeff Bezos recibió en el chat del príncipe saudí un vídeo intranscendente de WhatsApp con lo que parece un anuncio de telecomunicaciones. Este es el supuesto WhatsApp de Bezos que aparece en el informe de FTI Consulting, en donde se ve el vídeo:

 

Hackeo de WhatsApp

 

Se trata de un vídeo encriptado, y no se puede acceder a su código. Sin embargo los investigadores comprobaron que, horas después de recibir el vídeo, los datos enviados desde el móvil de Bezos aumentaron un 29.000%.

En los seis meses anteriores al hackeo solo enviaba una media de 430 KB al día. A las pocas horas de recibir dicho vídeo, se enviaron 126 MB de datos. En los siguientes meses la media diaria superaba los 100 MB, con picos de más de 4 GB. Y sin embargo Bezos no había cambiado la forma de usar su móvil.

El informe concluye que el vídeo seguramente fue enviado por Saud al Qahtani, jefe de Ciberseguridad del gobierno saudí, y amigo personal del príncipe heredero.

Pegasus de NSO, bajo sospecha

Se sabe que Saud al Qahtani ha comprado herramientas de hackeo como Galileo al grupo hacker italiano Hacking Team. Sin embargo el informe concluye que lo más probable es que se haya usado el software Pegasus, del grupo israelí NSO, famoso porque su forma de actuar es la misma que la descrita en el hackeo de Jeff Bezos: hackea móviles a través de vídeos y mensajes que se envían a las víctimas.

 

NSO Group

 

Curiosamente, NSO se anuncia a sí misma en su web como una empresa “que combate el terrorismo y ayuda a los gobiernos a mantener la seguridad pública.”. Pero el pasado mes octubre, WhatsApp denunció a NSO porque han usado su software para espiar a más de 1.400 usuarios de WhatsApp.

En un comunicado público enviado por NSO Group, se confiesa “en shock” por lo que le ha ocurrido a Jeff Bezos. Asegura que ellos no tienen nada que ver, y se muestran dispuestos a colaborar con las autoridades y con Jeff Bezos, para facilitar toda la información que pidan.

Se sabe que Pegasus en una herramienta hacker que aprovecha las vulnerabilidades zero-day de los sistemas operativos y las apps para hackear móviles y espiar su contenido sin necesidad de conocer las claves o las contraseñas biométricas.

Oficialmente NSO solo vende sus herramientas a gobiernos y agencias gubernamentales de seguridad, pero lo que hagan después estos organismos con ellas, está fuera de su alcance.

Las Naciones Unidas ha pedido que se aclare la implicación de NSO y Arabia Saudí en el hackeo de Bezos, porque detrás se esconde mucho más que el espionaje al hombre más rico del mundo. Bezos fue hackeado en la misma época que varios amigos del periodista Jamal Khashoggi, que supuestamente fue asesinado por orden del príncipe heredero saudí, por criticar el régimen político del país. Khashoggi trabajaba en el periódico The Washington Post, cuyo dueño es… Jeff Bezos.

El exploit CVE-2019-11931 de WhatsApp, ¿casualidad?

Al hilo de todos estos acontecimientos que se estaban investigando en 2019, el pasado 14 de noviembre Facebook emitió una nota de prensa en donde informaba de la existencia de una vulnerabilidad crítica de WhatsApp, llamada CVE-2019-11931, mediante la cual se puede usar un vídeo para hackear el móvil.

¿Casualidad, o es justo la vulnerabilidad que usaron los hackers para espiar a Jeff Bezos?

En el comunicado Facebook explica que un vídeo MP4 malintencionado, con el código alterado, puede provocar un DoS, o Denegación de Servicio, y una RCE, o Ejecución Remota de Código, que permite hackear el móvil.

Facebook

Este agujero crítico de seguridad afecta a todas las versiones de WhatsApp de Androd anteriores a 2.19.274, las versiones de iOS anteriores a 2.19.100, las versiones Enterprise anteriores a 2.25.3, las versiones de Windows Phone anteriores a 2.18.368, las versiones Business para Android anteriores a la 2.19.104, y Business para iOS anteriores a 2.19.100.

Facebook lanzó un parche que tapaba este agujero el mismo día del anuncio, pero decidió detallar el exploit precisamente para mostrar su gravedad, con la intención de que todos los usuarios actualizasen WhatsApp inmediatamente.

¿Como se puede hackear WhatsApp con un vídeo?

Sabemos que, de manera oficial, se puede hackear WhatsApp con un vídeo, tal como ha reconocido Facebook. Y se sospecha que el móvil de Jeff Bezos, y otros muchos, han sido hackeados de esta manera. Pero, ¿cómo es posible? Un vídeo solo contiene datos que son leídos por un reproductor multimedia, sin que exista ejecución de código de por medio.

Hasta hace pocos años se creía que un vídeo no podía contener un virus, y muchos antivirus ni se molestaban en examinarlos. Pero las cosas han cambiado…

En realidad, los vídeos usados por este exploit no contienen código maligno ni virus, sino que se aprovechan de un fallo de programación. Esta suele ser la forma más habitual de hackear. Es más sencillo entrar por un agujero, que tener que romper la encriptación de una clave secreta, o una huella dactilar.

Para hackear WhatsApp con un vídeo debe estar en formato MP4 y contener cierta cadena de metadatos, que lógicamente Facebook no ha revelado. Los metadatos son información asociada al vídeo: su nombre, autor, copyright, codec que usa, etc. Se incluyen dentro del vídeo para que el reproductor los lea y los muestre en pantalla.

Si aparecen ciertos metadatos en el vídeo, debido a un fallo de programación de WhatsApp producen un desbordamiento del búfer de la pila de datos, que provoca una Denegación de Servicio (DoS). En palabras sencillas, WhatsApp no sabe leer estos datos y produce un error en la reproducción, dejando la puerta abierta para que un hacker pueda llevar a cabo una Ejecución Remota de Código (RCE), que le permite introducir un troyano en el móvil para espiar todo su contenido.

¿Cómo puedo evitar que un vídeo me hackee?

Para evitar este exploit, y la mayoría de las vulnerabilidades que se descubren, la solución es actualizar WhatsApp, o cualquier otra app, siempre que hay una nueva versión. Con las apps críticas que usamos todos los días, desde WhatsApp a Facebook, Telegram, Gmail, etc., conviene realizar una búsqueda manual de actualizaciones al menos una vez a la semana, para asegurarnos de que tenemos la última versión:

 

Hackear WhatsApp

 

En WhatsApp entramos en Ajustes, Ayuda, y en Info de la aplicación. Aquí veremos la versión (foto superior). Podemos ir a la web de WhatsApp para comprobar que tenemos la última.

Aunque aún no está claro si este tipo de malware exige reproducir el vídeo o no para actuar, puedes quedarte más tranquilo si desactivas la descarga automática de vídeos en WhatsApp.

Simplemente entra en Ajustes, Datos y Almacenamiento, y busca la sección Descarga automática. Aquí tienes que desactivar la descarga automática de vídeos en varios lugares: WiFi, datos móviles e itinerancia de datos:

 

Hackear WhatsApp

 

A partir de entonces los vídeos solo se descargarán cuando toques en ellos en los mensajes.

La seguridad de los móviles ha dejado de ser un problema de los usuarios, y se ha convertido en un problema de seguridad nacional entre países.

La nueva guerra cibernética ya no se libra solo en los ordenadores.