Hallada vulnerabilidad en la nueva función biométrica de Whatsapp
Obtener enlace
Facebook
X
Pinterest
Correo electrónico
Otras aplicaciones
La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica. Extraído de dignited.comDespués de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.
El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.
Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.
Según el usuario, el proceso para explotar esta falla es:
Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
Pulsar el icono de WhatsApp en la iOS Share Sheet.
Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).
Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el 76% del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el 90% de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del soporte de seguridad para Windows 10 hasta un aumento en los ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla: 159 vulnerabilidades, 12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024", explica el informe . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos...
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios