La variable “name” es utilizada internamente en WhatsApp y su comportamiento cuando llegan estos enlaces y se hace clic en ellos no está controlado.

Este enlace de WhatsApp roba los nombres de tu agenda de contactos

Una vulnerabilidad de WhatsApp permite hacer llamadas a un servidor malicioso desde enlaces infectados, para obtener los nombres de los contactos a partir de su número de teléfono.

Uno de los ataques más recurrente por parte de los ciberdelincuentes es el uso de enlaces infectados pero aparentemente inocentes, donde las víctimas cliquean sin saber que les está conectando a un servidor para robarles información. Esta puede ser desde datos bancarios, a archivos de todo tipo o contactos telefónicos.

Esta práctica es muy común vía email, aunque últimamente también a través de las redes sociales, e incluso por WhatsApp. Precisamente la popular aplicación de mensajería instantánea presenta una vulnerabilidad en algunas de sus versiones que permite al atacante obtener los nombres de nuestro contactos de la agenda, o incluso el nuestro propio.

El procedimiento ha sido descubierto por un investigador de ciberseguridad, Daniel Sesé, y es el siguiente: el servidor malicioso recibe peticiones simples GET con el valor “name” y las va almacenando en un fichero de texto.

A partir de ahí, el cibercriminal selecciona a su víctima y le manda un enlace en el que en la variable “name” pone el número de teléfono cuyo titular quiere obtener.

Si la víctima presiona en él, la variable “name”, donde antes aparecía el número de teléfono, se transforma en el nombre del contacto, y WhatsApp lo envía al servidor malicioso, sin que el usuario lo sepa.

Si el enlace que recibe la víctima lleva su propio número, entonces envía el “nickname” que usó para registrarse en WhatsApp.   En el caso de que sea un número de alguien que no tiene añadido en su agenda, se envía el nickname o apodo con el que esa persona se registró.

La variable “name” es utilizada internamente en WhatsApp y su comportamiento cuando llegan estos enlaces y se hace clic en ellos no está controlado, algo que desde la app propiedad de Facebook tendrán que revisar.

Comentarios