Seguridad WhatsApp

Nuestra preocupación principal, y la de nuestros usuarios, es la seguridad y privacidad en las comunicaciones con WhatsApp
73 Problemas de seguridad
Historial
Antony Peel, 12/08/2024.

2024

Windows
27/07/24
WhatsApp para Windows permite la ejecución de scripts Python y PHP sin ningún tipo de aviso
A principios de junio de 2024 el investigador de seguridad Saumyajeet Das encontró una vulnerabilidad en la versión de escritorio de WhatsApp Messenger. Mientras experimentaba con el envío y la recepción de diferentes tipos de archivos adjuntos, comprobó si un usuario recibe un archivo .PHP .PYZ .PYZW o .EVTX a través del cliente de WhatsApp para PC, este puede ejecutarlo simplemente pulsando el botón de Abrir sin ningún tipo de aviso al respecto. En cambio la ejecución de otras extensiones como .EXE, .COM, .SCR, .BAT, .DLL, .HTA o .VB si están bloqueadas. Al no hallarse estas extensiones en el blocklist de la app de Meta, se facilita la distribución de scripts en Python y PHP que se ejecutan con solo abrirlos pudiendo provocar la ejecución remota de código maligno, siempre y cuando el ordenador objetivo de ataque tenga Python instalado. A finales de julio de 2024, Meta aún no había solucionado este fallo de seguridad.

2022

Android IOS Mac Windows WebApp
16/11/22
Un robo masivo de datos de WhatsApp pone a la venta casi 500 millones de números de teléfono
El 16 de noviembre de 2022 apareció en un conocido foro de hacking en anuncio de la venta de 487 millones de números de teléfono pertenecientes a usuarios de WhatsApp. Estos usuarios serían de 84 países diferentes, siendo la mayoría de Egipto (45 millones), Italia (35 millones), Estados Unidos (32 millones), Arabia Saudí (29 millones), France (20 millones) y Turquía (20 millones). En España el número de afectados estaría en torno a los 10 millones de usuarios. Fuentes fiables contrastaron los datos con una muestra facilitada por los vendedores y pudieron confirmar que eran números de teléfono de usuarios reales de WhatsApp. Se sospecha que los datos se pudieron obtener mediante la técnica del scraping, un procedimiento que va en contra de los términos y condiciones de uso de WhatsApp, aunque el responsable del hackeo no quiso confirmar en ningún momento el método utilizado.
Fuente:
Android IOS
22/09/22
Un desbordamiento de búfer en WhatsApp podría permitir la ejecución remota de código en una videollamada ya establecida
La vulnerabilidad CVE-2022-36934 fue detectada el 22 de septiembre de 2022, clasificada como un error crítico, y solventada el 23 de septiembre afectaba a las versiones de WhatsApp para Android anteriores a 2.22.16.2 y las de iPhone anteriores a 2.22.16.12. También afectaba a las apps móviles de WhatsApp Business anteriores a las versiones 2.22.16.12 en ambos sistemas operativos. Mediante este fallo de seguridad un atacante malicioso podía manipular un input de la función Video Call Handler provocando un desbordamiento de búfer permitiendo la ejecución remota de código durante la videollamada en cuestión.
Android IOS
22/09/22
Un desbordamiento de búfer en WhatsApp podría dar lugar a la ejecución remota de código al recibir un archivo de vídeo manipulado
La vulnerabilidad CVE-2022-27492 fue detectada el 22 de septiembre de 2022, clasificada como de alta peligrosidad, y solventada tan solo un día después afectaba a las versiones Android anteriores a 2.22.16.2 y las de iPhone anteriores a 2.22.15.9. Mediante este fallo de seguridad un atacante malicioso podía manipular un input de la función Video File Handler de un vídeo que luego enviado por WhatsApp le permitía obtener ejecutar código remoto en el dispositivo móvil del receptor.
Android IOS Mac Windows
02/02/22
Un atacante podría provocar la lectura fuera de límites al enviar un paquete RTCP con formato incorrecto durante una llamada
RTCP son las siglas de Real Time Control Protocol, un protocolo de comunicación utilizado normalmente en la realización de llamadas y videollamadas entre usuarios de las apps de comunicación como WhatsApp. A comienzos del mes de febrero de 2022 se detectó un fallo en un control de enlace en el código de análisis del indicador RTCP, que es el encargado de informar sobre la calidad del flujo RTP, el que realmente transporta los datos. En la práctica, esto suponía que un usuario podría enviar un paquete RTCP con formato incorrecto durante una llamada en curso y provocar la lectura de almacenamiento dinámico fuera de los límites permitidos.
Android IOS Mac Windows
05/01/22
Un fallo en la lógica usada para el diseño del sistema de llamadas permitía a posibles atacantes forzar un desbordamiento de búfer
Call Handler es el nombre de un componente de software empleado por WhatsApp para la realización de llamadas entre usuarios. Mediante la manipulación de un input se podría en teoría haber provocado un desbordamiento de búfer y permitido la escritura fuera de los límites previstos.

2021

Android
12/07/21
Un error de programación que implicaba una verificación de límites faltantes en la característica de desenfoque de imagen podía habilitar la escritura fuera de límites y un error de búfer con una imagen maliciosa
WhatsApp, a través de sus avisos de seguridad, hizo público en diciembre de 2021 la vulnerabilidad CVE-2021-24041 registrado por primera vez en el mes de julio de ese mismo año. El fallo de seguridad se encontraba en la función de desenfoque de imágenes, que se usa ampliamente en la app en toda clase de supuestos. Los potenciales atacantes, aprovechando un error del código en la verificación de límites asociada a esta funcionalidad, podían provocar la escritura fuera de límites y el desbordamiento de búfer mediante el envío de una imagen maliciosa. El fallo afectaba a las versiones de Android de la app anteriores a la 2.21.22.7 publicada en octubre de 2021, incluyendo la versión Business.
Android
11/06/21
Un error en la validación de nombres de archivo podría permitir a un atacante sobrescribir archivos de la app
Un error en el proceso de validación de nombres de archivo de WhatsApp Messenger podría permitir a un atacante comprometer la integridad y confidencialidad de los datos de la víctima. Conocida como una vulnerabilidad de clase transversal, el problema surge al descomprimir archivos. La falta de validación en los nombres de archivo durante el proceso podría permitir la sobreescritura de archivos mediante ataques transversales de ruta, dando acceso a directorios que deberían estar vetados. Se trata de un ataque sencillo que podría ejecutarse de forma remota y fácil de explotar pues no se requiere autentificación alguna, aunque sí es necesaria la interacción con la víctima.
Android
14/04/21
Una vulnerabilidad en las versiones de WhatsApp Messenger para Android permite realizar ataques de tipo Man-in-the-disk a través de un archivo HTML y el navegador Chrome
Un fallo de seguridad permite recopilar información criptográfica del almacenamiento externo de un usuario. Para hacerlo, se envía a la víctima un archivo HTML que una vez abierto con Chrome aprovechando su soporte para proveedores de contenido ejecuta código. En ese momento, se tiene acceso a material criptográfico TLS (en sesiones de TLS 1.2 y 1.3) almacenado en la caché, pues WhatsApp guarda los detalles de la clave de sesión de TLS en un área del almacenamiento externo desprotegida, dando pie a comprometer las comunicaciones y nuestra cuenta, ejecutar código remoto y extraer claves del protocolo Noise usadas habitualmente en el cifrado extremo a extremo de las comunicaciones.
Android IOS
14/04/21
Un error en la decodificación del audio procedente de llamadas entrantes podía provocar la escritura más allá de los límites posibles y provocar el desbordamiento de memoria
Un atacante remoto podría iniciar una llamada de voz a través de WhatsApp diseñada específicamente para provocar un desbordamiento de memoria durante su procesado, aprovechando un fallo en el sistema de verificación de límites. Al provocar la escritura fuera de límites, se provoca el fallo de la app. No se han dado detalles técnicos concretos sobre la vulnerabilidad.
Android IOS Mac Windows WebApp
10/04/21
Un error de concepto en el proceso de login inicial y un sencillo correo de contacto a la dirección de soporte al usuario permiten bloquear incluso de forma permanente cuentas de otros usuarios
Un usuario puede instalar un cliente de WhatsApp e iniciar el proceso de identificación utilizando un número de teléfono de una tercera persona. Tras varios intentos fallidos poniendo códigos erróneos o solicitando nuevos códigos de forma reiterada (ya que el código de verificación de 6 dígitos real llega siempre a la víctima que podría ser ajena a todo) WhatsApp bloquea el envío de nuevos códigos durante 12 horas. Es en ese tiempo donde entra en juego la segunda debilidad, pues el atacante podría ponerse en contacto con el departamento de cuentas perdidas o robadas de WhatsApp y simplemente mostrando el número de teléfono de la víctima, hacerse pasar por ella para bloquearla aprovechando que se trata de una plataforma de comunicación automatizada. Si además, repite la operación durante varios ciclos de 12 horas y la víctima no es capaz de recuperar el control de la cuenta entre ellos, podría bloquear de forma permanente la cuenta y obligar a la víctima a contactar directamente con WhatsApp para recuperarla.
Android
02/02/21
Un problema en la función de filtro de imagen puede provocar la escritura fuera de límites y dar acceso a la memoria de WhatsApp en el teléfono de la víctima
La empresa de seguridad Check Point Research notificó a WhatsApp el 10 de noviembre de 2020 la existencia de un fallo de seguridad en la función de filtro de imagen que podría dar al atacante acceso a la información almacenada en la memoria de WhatsApp mediante la escritura fuera de límites. El ataque, que en cualquier caso requiere de la interacción del usuario, resulta ciertamente complejo de ejecutar y del que no hay constancia de que se haya puesto en práctica, se sirve de una imagen GIF prediseñada que es enviada a la víctima. Cuando esta edita la imagen aplicando ciertos filtros como los difuminados se modifican los píxeles de la imagen originales, un proceso complejo donde se leen, manipulan y sobrescriben datos. El error se da al reenviar el resultado al remitente. El error, del que se conocieron más detalles técnicos el 2 de septiembre de 2021, fue en teoría corregido a partir de la versión 2.21.1.13 de la app publicada en febrero de 2021 introduciendo dos nuevos procesos de verificación sobre la fuente de la imagen y el filtro de imagen relacionado con el fallo.
Fuente:

2020

IOS
05/11/20
El fallo de una librería podía corromper la memoria, habilitar la ejecución de código y provocar otros fallos en la app
Una concatenación de diferentes eventos pudo provocar la corrupción de memoria en la app, fallos y ejecución de código malicioso. El fallo estaba relacionado con un problema en una biblioteca de registro empleada en las versiones anteriores a la 2.20.111 de WhatsApp Messenger y WhatsApp Business para iOS. Para provocar el fallo eran necesarios diferentes supuestos en un determinado orden, entre ellos recibir un sticker animado mientras colocamos una videollamada en espera.
IOS
05/11/20
Uso de Siri para manipular WhatsApp iOS incluso con la pantalla bloqueada
Un problema con la autorización incorrecta del uso de la función de bloqueo de pantalla en las versiones de iOS de WhatsApp Messenger y WhatsApp Messenger Business anteriores a la versión 2.20.100 hacía posible usar Siri para manipular la aplicación incluso después de bloquear el teléfono.
Android IOS
06/10/20
Ejecución de código arbitrario para provocar un desbordamiento de pila
Al analizar el contenido de encabezados de extensión RTP era posible ejecutar código arbitrario y provocar un desbordamiento en la pila de WhatsApp.
Android
06/10/20
Desbordamiento de búfer a partir de vídeos locales codificados con un determinado formato de audio
Al procesar vídeos locales mal formados con transmisiones de audio E-AC-3 era posible habilitar la escritura fuera de límites y provocar un desbordamiento de búfer.
Android
06/10/20
Apps maliciosas con posible acceso a contenido adjunto
Un error en los URI (uniform resource identifier) de Media ContentProvider empleados a la hora de abrir archivos adjuntos en aplicaciones de terceros hacía que estos se generasen de manera secuencial, lo que significa que una app de terceros maliciosa podía abrir el archivo y adivinar los URI de archivos adjunto abiertos con anterioridad.
IOS
06/10/20
Sobrescritura de archivos de directorio transversal
Un error en la validación de ruta al enviar archivos DOCX, XLX y PPTX diseñados como archivos adjuntos en los mensajes permitía la sobrescritura de archivos de directorio transversal.
IOS
06/10/20
Denegación de servicio a través de archivos DOCX, PPTX y XLSX
Al descomprimir un documento DOCX, PPTX o XLSX habituales de la suite Office era posible provocar una denegación de servicio como resultado de la falta de memoria, para lo cual era necesario que el número de teléfono que enviaba el archivo no estuviera en nuestra lista de contactos.
Android
06/10/20
Determinadas búsquedas podrían abrir Google usando HTTP simple
Un fallo al realizar búsquedas rápidas de un mensaje muy reenviado podía enviar al usuario al servicio de búsquedas de Google utilizando HTTP simple.
IOS
06/10/20
Bloqueo de la aplicación mediante envío de mensajes largos
Mediante el envío de un mensaje de gran tamaño que contiene una URL, era posible bloquear el cliente de iOS al provocar que la app se congelara al procesar el mensaje.
Android IOS
03/09/20
Ejecución de código malicioso mediante mensajes de voz push to talk
Un atacante podía haber empleado la función push to talk del envío de mensajes para ejecutar código malicioso arbitrario.
Android IOS
03/09/20
Permitía la escritura fuera de límites en dispositivos de 32 bits
A través de las videollamadas un usuario podía habilitar la escritura fuera de límites en dispositivos de 32 bits.
Android
03/09/20
Stickers enlazados a URLs sin permiso
Un problema de validación de URLs permitía el envío de stickers con enlaces URL que se abrían de forma automática sin el permiso del usuario.
Mac Windows
03/09/20
Omisión de funciones de seguridad en WhatsApp Desktop
Un problema de omisión de funciones de seguridad en las versiones de WhatsApp Desktop anteriores a la v0.3.4932 podría haber permitido el escape de la zona de pruebas en Electron y la escalada de privilegios si se combinaba con una vulnerabilidad de ejecución remota de código dentro del proceso de renderización de la zona de pruebas.
Android
03/09/20
Desbordamiento de búfer
Habilitaba la escritura fuera de los límites mediante transmisiones de vídeo diseñadas para actuar cuando se respondía.
Mac Windows
03/09/20
Problema de validación de entrada
A través de los mensajes de localización en vivo, un atacante podría haber permitido el cross-site scripting mediante un enlace.
IOS Mac Windows
21/01/20
Vulnerabilidad en vista previa de enlaces usando Desktop y iPhone
Una vulnerabilidad que combina WhatsApp Desktop y WhatsApp para iPhone hace posible, mediante un clic de la víctima sobre la vista previa de un enlace diseñado para ello, crear secuencias de comandos entre sitios y leer archivos locales.
Fuente:

2019

Android IOS Mac Windows WebApp
17/12/19
Cuelgues de la app en miembros de grupos
Mediante WhatsApp Web, Google Chrome y un servidor remoto en Python, el atacante puede modificar el nombre del participante de un grupo y provocar cuelgues entrando en un bucle infinito. La única solución pasaba por reinstalar la app, con la consiguiente perdida de datos del grupo.
Fuente:
Android
14/11/19
Hackeo de la app mediante archivos MP4
Mediante el envío a un contacto y la posterior descarga de un archivo MP4 junto a sus metadatos, se corrompía la memoria y se generaba un ataque DoS o RCE. Los atacantes podían espiar datos y robar archivo de forma remota.
Fuente:
Android
23/10/19
Desbordamiento de búfer en librerías Android
Se localiza un error de desbordamientos del búfer de pila en una librería de Android, concretamente llamada libpl_droidsonroids_gif antes de su versión 1.2.19 que podía permitir a un atacante remoto ejecutar código arbitrario y provocar una denegación de servicio. El error podía afectar a las versiones de WhatsApp Messenger Android anteriores a la versión 2.19.291.
Fuente:
Android
03/10/19
Ejecución de código remoto mediante la creación y envío de GIFs
Un fallo en una librería de Android relacionado con GIFs contenía una doble vulnerabilidad en la función DDGifSlurp. Mediante este agujero atacantes remotos podían ejecutar código y provocar una denegación de servicio al analizar GIFs específicamente diseñados para ese fin.
Fuente:
Android IOS
27/09/19
Ataques mediante etiquetas EXIF en imágenes WEBP
Un atacante podía usar las etiquetas EXIF de las imágenes de tipo WEBP para realizar una escritura fuera de los límites y desbordar las bibliotecas de análisis de medios.
Fuente:
Android IOS Mac Windows WebApp
08/08/19
Fallo en código permite la manipulación de mensajes (II)
Pese a que WhatsApp notificó haber solucionado esta vulnerabilidad, reportada inicialmente en agosto de 2018, los mismos investigadores descubren que el problema no se ha resuelto y sigue siendo posible manipular mensajes y hacerlos pasar cómo verídicos.
Fuente:
Mac Windows
16/07/19
Error al realizar la validación correcta de entrada
Un problema en el proceso de comprobación y entrada permitía enviar archivos maliciosos a usuario que se desplegaban con una extensión incorrecta.
Fuente:
Android
15/07/19
Media File Jackin
Detectado un error por el cual los archivos multimedia de WhatsApp y Telegram eran visibles entre sí a través del almacenamiento de tarjetas SD. De esta forma, era posible modificar un archivo o documento previamente a su envío.
Fuente:
Android IOS Windows
14/05/19
Brecha de seguridad con posibles ataques mediante llamadas telefónicas. Vulnerabilidad en la pila de búfer de WhatsApp VoIP. Ejecución remota de código mediante paquetes RTCP enviados a un número mediante llamadas telefónicas
Un fallo de seguridad permitía el espionaje a través de llamadas telefónicas. Se sospecha que la empresa de ciberseguridad NSO aprovechó el fallo para ofrecer una herramienta de espionaje de forma comercial. Al recibir una llamada y sin necesidad de responderla, se instalaba un software espía. Las llamadas podían no dejar rastro. Periodistas, disidentes políticos, diplomáticos y miembros de gobiernos distintos fueron víctimas del software llamado Pegasus, que WhatsApp confirmaría después que habría afectado a en torno 1400 personas.
Android
10/05/19
Recuperación de mensajes enviados anteriormente
Un error en la lógica de desarrollo permitía que alguien con acceso a la cuenta pudiera recuperar mensajes enviados anteriormente. En cualquier caso, era necesario conocer los metadatos de esos mensajes, que en teoría no están disponibles públicamente.
Fuente:
Android IOS Windows
28/01/19
Error de pila al fallar el cálculo de datos transmitidos al recibir llamadas
Error de escritura fuera del espacio asignado a la pila al recibir llamadas, en la asignación de pila no se estaban considerando de forma adecuada la cantidad de datos que se pasaban.
Fuente:
IOS
28/01/19
Desbordamiento de pila al recibir llamadas en iOS
En WhatsApp para iOS, un fallo en el proceso de comprobación de tamaño al analizar paquetes en el remitente al recibir una llamada podía provocar un desbordamiento basado en la pila.
Fuente:

2018

Android IOS
10/10/18
Memory heap overflow al recibir videollamadas
Problemas de implementación de RTP, permite tomar el control de un cliente mediante una videollamada diseñada con ese propósito. Afecta a Android y a iOS, no a WhatsApp Web ya que usa WebRTC para esta función.
Android IOS Mac Windows WebApp
07/08/18
Fallo en código permite la manipulación de mensajes
Una brecha de seguridad detectada por una empresa externa permitía a los delincuentes interceptar y manipular mensajes enviados. El fallo permitía cambiar la respuesta de un participante, citar mensajes de personas que no habían escrito esos textos o enviar mensajes a miembros de grupos que pese a ser en apariencia grupales, solo eran visibles por ese usuario.
Fuente:
Android IOS Mac Windows WebApp
31/05/18
Fallo en el plugin de botones para compartir contenidos
El plugin Add Social Share Messenger Buttons WhatsApp and Viber 1.0.8 de MULTIDOTS para WordPress presenta un fallo a través del cual un atacante mediante phishing o ingeniera social podría lograr que el administrador de un sitio de WordPress cambiara la configuración del plugin mediante Cross-Site Request Forgery (CSRF) en wp-admin/admin-post.php.
Fuente:
Android IOS
23/05/18
Recepción de mensajes de contactos bloqueados
Los usuarios en redes sociales advierten que un usuario bloqueado puede seguir enviando mensajes. El error parece estar relacionado con una actualización de los clientes móviles de WhatsApp tanto de Android como de iPhone, y se resolvería poco después mediante una nueva actualización.
Android IOS Windows
28/01/18
Error en cabeceras RTP
Un análisis incorrecto de las cabeceras de extensión RTP hizo posible la lectura fuera de límites.
Fuente:
Android
28/01/18
Desbordamiento de pila al recibir llamadas en Android
En WhatsApp para Android, un fallo en el proceso de comprobación de tamaño al analizar paquetes en el remitente al recibir una llamada podía provocar un desbordamiento basado en la pila.
Fuente:

2017

WebApp
09/10/17
Monitorización de actividad de contactos en WhatsApp Web
El investigador Rob Heaten descubre un fallo en WhatsApp Web que permite monitorizar la actividad de contactos. Empleando una extensión de Chrome, registrando las horas de conexión pese a estar ocultas a la vista y comparando la información con la de otros contactos sería posible establecer pautas, rutinas e incluso conversaciones mantenidas entre ellos.
Fuente:
Android IOS Mac Windows WebApp
01/07/17
Autoinvitaciones a grupos
Investigadores alemanes alertan de un fallo por el cual una persona con acceso a los servidores de WhatsApp puede autoinvitarse en chats de grupo. Desde Facebook restan importancia, dado que como se ha dicho es necesario tener acceso a los servidores, cosa muy limitada, y además los participantes de los grupos pueden ver que se ha unido una nueva persona no invitada. Tampoco tienen acceso a los mensajes enviados con anterioridad.
Android
09/04/17
Información no eliminada de la tarjeta SD y accesible para otras apps
WhatsApp para Android no borra archivos enviados y recibidos de la tarjeta SD del dispositivo cuando se borra un chat o la app es desinstalada. Los datos de la tarjeta SD se almacenan sin encriptación y son accesibles a otras aplicaciones con permisos de acceso al almacenamiento. Según Facebook, no se trata de un error, sino del funcionamiento esperable para permitir a los usuarios exportar los datos.
WebApp
15/03/17
Robo de cuentas mediante fotos o vídeos
Una vulnerabilidad hacía posible enviar mensajes o vídeos normales en la previsualización pero que contenían código HTML, capaz de cargar el malware a través del navegador. De esta forma, era posible tomar el control total de la cuenta del usuario, leer sus mensajes, enviarlos o ver el contenido multimedia. La vulnerabilidad fue reportada el día 8 de marzo de ese mismo año, una semana antes. Cuando se hizo pública había sido solucionada.
Fuente:
Android IOS Mac Windows WebApp
13/01/17
Fallo de seguridad que permitiría leer los mensajes
El investigador alemán Tobias Boelter descubre un error en el cifrado de extremo a extremo de la app. Al generar las claves de seguridad mediante el protocolo Signal de Open Whysper Systems, se descubre que WhatsApp tiene la capacidad de forzar la creación de nuevas claves para usuarios offline. Muchos expertos en seguridad consideran que este error no es tal, y de hecho el medio The Guardian que publicó inicialmente el error se retractó en gran parte de sus palabras

2016

IOS
02/08/16
Las conversaciones no se borran
Tras la llegada del cifrado de mensajes un investigador descubrió un fallo en las librerías SQL que permitiría seguir el rastro de las conversaciones borradas con nuestros contactos. Según su análisis, solo sería posible borrar completamente una conversación borrando y reinstalando la app.
Android IOS Mac Windows WebApp
06/05/16
Fallo de cifrado de mensajes
Una empresa de seguridad informática rusa descubre cómo es posible espiar conversaciones utilizando los agujeros de seguridad del protocolo SS7. Conectando al nodo de la red que da servicio al terminal y aprovechando el error podían robar el SMS de autenticación y suplantar la identidad de los participantes. Esto podía ocurrir siempre que se utilizara la configuración de seguridad por defecto en este momento, cuando no estaba activada la opción "Mostrar notificaciones de seguridad" en los ajustes, que podía advertir al usuario de la existencia de un problema. En cualquier caso, es más error del protocolo que de WhatsApp.

2015

WebApp
08/09/15
Instalación de malware en PC mediante WhatsApp Web y una tarjeta vCard
Usando el cliente web en un PC, un atacante podía enviar una vCard con el código malicioso de un malware e instalarlo directamente en la computadora.
Fuente:
IOS
30/07/15
Acceso a chats ajenos en dispositivos iOS
Un estudiante de ingeniería informática alerta de que mediante un iPhone y un ordenador Linux puede extraer archivos enviados y recibidos y contactos.
Fuente:
Android IOS
30/05/15
Robo de cuenta a través de otro dispositivo
Un fallo en el proceso de identificación de usuarios permitía a un atacante tener acceso a nuestra cuenta. Instalando WhatsApp en un segundo dispositivo, conociendo el número de teléfono de la víctima y teniendo acceso a su teléfono, era posible robar la cuenta. Para ello, se inicia una nueva instalación con el número de la víctima, se solicita el código de verificación a través de una llamada en su móvil que podremos contestar sin desbloquear el teléfono y usaremos ese código en el segundo cliente. Hasta que la víctima pueda recuperar el uso de su cuenta, pasa una cantidad de minutos variable que es posible aprovechar para espiar todas las conversaciones.
IOS
26/05/15
Un bug relacionado con caracteres reinicia el teléfono
Un atacante remoto podía utilizar CoreText para provocar un ataque de denegación de servicio usando texto Unicode. Mediante el envío de diversos caracteres que no eran correctamente asimilados por la misma notificación, el mensaje provocaba el reinicio del teléfono.
Fuente:
Android IOS Windows
13/05/15
Hackeo de cuentas mediante el buzón de voz
El proceso de verificación de WhatsApp hace posible que una persona que conozca nuestro número de teléfono pueda robarnos la cuenta si tenemos el buzón de llamadas activo. Basta con instalar WhatsApp e iniciar el registro del número a una hora en la que la víctima posiblemente no esté pendiente de su teléfono. Al no responder la llamada de verificación, WhatsApp deja el mensaje en el buzón de voz si está activo, un buzón al que es posible llamar para conocer el código de verificación y tomar el control de la cuenta.
WebApp
29/01/15
Un error permite ver las fotos de usuarios de contactos que no tenemos en la agenda/Las imágenes borradas siguen siendo visibles en WhatsApp Web
Indrajeet Buyhan descubre dos fallos de seguridad y privacidad. Por un lado, demuestra cómo las fotos de perfil de los usuarios son visibles aun cuando no tenemos el contacto en la agenda. Cualquiera puede ver nuestra foto aun cuando especificamos en la configuración que no sea así. El segundo error está relacionado con la sincronización de WhatsApp Web y los clientes móviles: al eliminar una foto en una conversación, esta se vuelve borrosa en los móviles e inaccesible, pero sigue estando disponible en la versión web del cliente.

2014

Android
01/12/14
Envío de mensajes capaces de corromper la conversación y obligar a su borrado
Dos adolescentes descubren un fallo por el cual mediante el envío de un mensaje de texto con un juego especial de caracteres de muy pequeño tamaño (apenas 2kb) se provocaba un error en la app, haciendo imposible acceder a esa conversación. No era un fallo de seguridad extremadamente grave, pero permitía corromper cualquier conversación obligando a borrarla e iniciar una conversación nueva. Corregido en la actualización 2.11.468.
Android
17/04/14
Envío de localizaciones sin encriptar
Un grupo de investigadores de la Universidad New Haven detectan un fallo de seguridad por el cual los mensajes con la localización de un contacto se envían sin encriptar, lo que permite interceptar el contenido de esos mensajes y conocer la posición real de un contacto usando un ataque man-in-the-midddle con programas como WireShark
Android
11/03/14
Robo de la base de datos de WhatsApp
Un ingeniero informático holandés alerta de que la base de datos de WhatsApp se almacena en la tarjeta SD de los terminales, y de que cualquier app con acceso a esa tarjeta SD podría conseguir el archivo. En un proceso transparente, los atacantes son capaces de copiar la base de datos y subirla a un servidor. Esta base de datos estaba cifrada mediante SQLite3, pero era posible descifrarla usando un scrypt de Phyton y WhatsApp Xtract. Según WhatsApp en una nota difundida días después, esos informes no daban una imagen real y eran exagerados: un uso responsable del software y del dispositivo, como en cualquier otra circunstancia, debería ser suficiente para no ser víctimas de un ataque.
Android IOS Windows
08/03/14
Brecha de seguridad permitiría falsificar mensajes
Dos investigadores presentan en la RootedCon 2014 una prueba de concepto que demuestra que es posible falsificar mensajes de WhatsApp sin dejar rastro.

2013

Android
22/11/13
Es posible saber la localización de un contacto a través de su dirección IP
La introducción de una nueva funcionalidad de descarga de imágenes asociadas a la compartición de enlaces URL permitiría a un atacante conocer la dirección IP de una persona y por tanto su ubicación. También otros datos útiles para la realización de ataques de denegación de servicio.
Android IOS Windows
03/11/13
Es posible desencriptar los mensajes enviados de WhatsApp
Pablo San Emeterio y Jaime Sánchez publican una investigación mediante la cual explican de forma detallada cómo funciona el sistema de cifrado de mensajes de WhatsApp y cómo, con esta información, es posible interceptar mensajes enviados y falsificarlos de cara a su receptor final. Como solución, inventan la app WhatsApp Privacy Guard. El problema está en el uso de la misma clave para cifrar dos mensajes, un fallo del protocolo de cifrado RC4.
Android IOS Windows
08/10/13
Problemas con el cifrado de WhatsApp
El investigador Thijs Alkemade detecta dos debilidades sobre el cifrado de mensajes de WhatsApp. Por un lado, descubre que alguien con acceso a los mensajes podría ser capaz de descifrar su contenido pese al cifrado empleado. Por otro, el uso de una misma clave RC4 permite los ataques man-in-the-middle capaces de interceptar paquetes.
Fuente:
Android IOS Windows
17/01/13
Brecha de seguridad habilita la aparición de WhatsApp Voyeur
Alejandro Amo publica el servicio web WhatsApp Voyeur como prueba de que cualquier persona puede conseguir información de los datos de perfil de WhatsApp sin tenerlos en la agenda, como fotos, estados o fechas. El servicio dejó de funcionar por amenazas legales. La realidad es que esto es posible con tan solo agregar un contacto a nuestra agenda.

2012

Android IOS Windows
04/05/12
WhatsApp Sniffer, mensajes en texto plano
Se lanza la app WhatsApp Sniffer, que permite espiar chats. En agosto de 2012 se anunciaría que WhatsApp comenzaba a cifrar los mensajes, sin especificar el protocolo. Los números de los teléfonos seguían siendo visibles.
Android IOS Windows
03/01/12
Aparece WhatsAppStatus, que permite cambiar el estado de cualquier contacto
Se publica un servicio web llamado WhatsAppStatus que aprovecha diferentes vulnerabilidades detectadas el mes anterior para permitir cambiar los estados de nuestros contactos de forma aleatoria. El error sería subsanado el día 6 de enero.
Fuente:

2011

Android IOS Windows
19/12/11
Actualizaciones arbitrarias de estado, fallos de registro y fallos relacionados con el texto sin formato
Se descubren numerosas vulnerabilidades relacionadas con los estados de los usuarios en la app, el proceso de registro y el protocolo de texto sin formato, lo que hace muy sencillo su interceptación.
Android IOS
10/12/11
Nace Whatsapp Xtract, es posible robar la base de datos de WhatsApp de un usuario
Un grupo de investigadores lanza WhatsApp Xtract, un software capaz de extraer y desencriptar la base de datos que WhatsApp almacena de forma local en los dispositivos. Según los informes, se puede acceder a esta base de datos cifrada, que almacena todos los mensajes entrantes y salientes, en dispositivos móviles rooteados o con jailbreak y se puede decodificar fácilmente ya que emplea siempre una misma clave estática y codificada.
Android IOS Windows
17/05/11
La información de contactos y los mensajes se envían como texto plano
Un investigador descubre que WhatsApp envía toda la información sin cifrar a través de la red, por lo que cualquier usuario puede ser víctima de espionaje mediante un ataque de tipo man-in-the-middle, que usando un software sniffer como WireShark es capaz de ver los datos que pasan a través del puerto 443. WhatsApp reconoció implícitamente que no había capa de seguridad extra al responder que los protocolos de seguridad aplicados eran los propios de las redes Wi-Fi y 3G.
Android
01/05/11
Un fallo de seguridad permitía secuestrar las cuentas de los usuarios
Problemas con la seguridad en el proceso de verificación o autenticación de número de teléfono. Un desarrollador localiza un fallo que permitía secuestrar la cuenta de un usuario de forma remota.