Si eres propietario de un iPhone o un dispositivo Android, entonces, son altas las probabilidades de que estés familiarizado con la extremadamente popular aplicación de mensajería  instantánea, multiplataforma, WhatsApp.  

De acuerdo con el “hacker de sombrero blanco”, Mohammed Saedd, la interfaz del servidor de medios de Whatsapp (media.whatsapp.com)  fue vulnerado con un ataque LFI (Inclusión de Archivos Local, por sus siglas en inglés). Esta vulnerabilidad ocurre cuando una página no valida correctamente sus entradas y permite que se inyecten caracteres que se usan para un ataque de directory transversal.

La falla permitió que el hacker obtuviera nombres de usuario por medio del archivo “/etc/passwd”, además pudo ver otros archivos sensibles como bitácoras.  i.e “/apache/logs/error.log” o “/apache/logs/access.log”.

El 27 de mayo, con una prueba de concepto, Mohammed reportó la falla al equipo de seguridad de WhatsApp.

Si tú eres un analista de vulnerabilidades y descubres algún error que pueda ayudar al equipo de WhatsApp a hacer su servicio más seguro, siéntete libre de contactarlos al correo support@whatsapp.com.