Skip to content

Instantly share code, notes, and snippets.

@j0rd1s3rr4n0

j0rd1s3rr4n0/android-cve-whatsapp.markdown

Created May 31, 2023 08:06
Show Gist options
  • Save j0rd1s3rr4n0/34f12cbc90dafccda8767e058f58d47d to your computer and use it in GitHub Desktop.
Save j0rd1s3rr4n0/34f12cbc90dafccda8767e058f58d47d to your computer and use it in GitHub Desktop.
Download ZIP
Android CVE WhatsApp
Raw
index.html
<!DOCTYPE html>
<html lang="es">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>CyberMaresme | Informe CVE DoS WhatsApp </title>
<link rel="stylesheet" href="styles.css">
</head>
<body>
<style>
* {
color: white;
}
</style>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>CyberMaresme | Informe CVE DoS WhatsApp</title>
<link rel="stylesheet" href="styles.css">
<header>
<div class="header-content">
<a href="https://cybermaresme.com/"><img src="https://cybermaresme.com/wp-content/uploads/2022/07/Recurso-3.png" alt="CyberMaresme" height="80pt"></a>
<h1>Informe de Vulnerabilidad: <br><span>Denegación de Servicio (DoS) en WhatsApp para Android</span></h1>
</div>
</header>
<main>
<h2>Resumen</h2>
<p>Se ha identificado una vulnerabilidad en la aplicación de mensajería WhatsApp para usuarios de Android que puede resultar en una denegación temporal de servicio en un chat específico. La vulnerabilidad se produce al enviar un enlace específico que utiliza la API de WhatsApp, lo cual provoca el bloqueo de la aplicación y afecta la funcionalidad del chat objetivo.</p>
<h2>Descripción</h2>
<p>La vulnerabilidad se manifiesta cuando un usuario de WhatsApp en un dispositivo Android envía el enlace "wa.me/settings" a través de la aplicación, dirigido a un chat específico. Al hacer clic en ese enlace dentro del chat, la aplicación se bloquea inmediatamente, lo que resulta en la denegación temporal de servicio para el chat afectado.</p>
<h2>Causa</h2>
<p>La causa de esta vulnerabilidad radica en la forma en que la aplicación de WhatsApp para Android maneja el enlace específico que utiliza la API de WhatsApp. Es posible que el enlace no esté completamente preparado para su uso desde la aplicación móvil, lo que desencadena un error en la lógica de la aplicación y provoca su bloqueo, afectando así la funcionalidad del chat objetivo.</p>
<h2>Impacto</h2>
<p>El impacto de esta vulnerabilidad se limita a un chat específico en la aplicación WhatsApp para usuarios de Android. Al acceder al chat hace una precarga del enlace problemático dentro de dicho chat, la aplicación se bloquea, lo que impide temporalmente el acceso y la interacción en el chat afectado. Otros chats y funcionalidades de la aplicación no se ven afectados.</p>
<h2>Recomendaciones</h2>
<p>Se sugieren las siguientes medidas de mitigación para los usuarios afectados:</p>
<ul>
<li>Acceder a través de WhatsApp Web o WhatsApp Desktop: Para evitar la vulnerabilidad en la aplicación móvil, se recomienda acceder al chat afectado utilizando la versión web o de escritorio de WhatsApp. Estas versiones no se ven afectadas por la vulnerabilidad y permiten interactuar con el chat normalmente.</li>
<li>Eliminar el enlace problemático: Para restaurar la funcionalidad del chat afectado, se recomienda eliminar el enlace problemático desde WhatsApp Web o WhatsApp Desktop. Esto evitará que el enlace sea accedido nuevamente desde la aplicación móvil, evitando así el bloqueo y restaurando el acceso normal al chat.</li>
</ul>
<h2>Conclusión</h2>
<p>La vulnerabilidad descubierta en la aplicación WhatsApp para usuarios de Android, que resulta en una denegación temporal de servicio en un chat específico, requiere medidas de mitigación para evitar el bloqueo en la aplicación. Se recomienda a los usuarios afectados seguir las recomendaciones mencionadas anteriormente y estar atentos a las actualizaciones de seguridad proporcionadas por WhatsApp. Se espera que el equipo de desarrollo de WhatsApp aborde y solucione esta vulnerabilidad en futuras actualizaciones de la aplicación.</p>
<sub style="float:right;">
30 de mayo de 2023<br>
<a href="https://www.linkedin.com/company/cybermaresme/">Equipo de CyberMaresme</a>
</sub>
<br><br><br>
</main>
<footer>
<p>CyberMaresme ©️ 2023 - Todos los derechos reservados</p>
</footer>
</body>
</html>
Raw
style.css
@import url('https://fonts.googleapis.com/css2?family=Roboto&display=swap');
body > *{
background:#5e42ec !important;
}
body {
font-family: Arial, sans-serif;
margin: 0;
padding: 0;
background:#5e42ec;
/*background-color: #f4f4f4;*/
}
header {
background-color: #5e42ec;
color: #fff;
padding: 20px;
text-align: center;
}
header {
display: flex;
justify-content: center;
align-items: center;
}
.header-content {
display: flex;
align-items: center;
}
.header-content > a > img{
filter:brightness(20);
margin-right: 40pt;
}
.header-content > h1{
text-align:left;
}
.header-content > h1 > span{
font-size:80%;
}
header h1 {
margin: 0;
font-size: 28px;
/*text-transform: uppercase;*/
vertical-align:middle;
}
header span {
margin: 0;
font-size: 28px;
/*text-transform: uppercase;*/
}
li{
padding:5pt;
}
header p {
margin: 5px 0 0;
font-size: 16px;
text-transform: uppercase;
}
main {
margin: 20px auto;
max-width: 800px;
background-color: #fff;
padding: 20px;
/*box-shadow: 0px 2px 4px rgba(0, 0, 0, 0.1);*/
margin-bottom: 50pt;
border-radius:15pt;
}
h2 {
margin-top: 30px;
font-size: 24px;
}
ul {
margin: 0;
padding-left: 20px;
}
footer {
background-color: #5e42ec;
color: #fff;
padding: 15pt;
text-align: center;
position: fixed;
bottom: 0;
left: 0;
width: 100%;
font-size: 14px;
}
footer p {
margin: 0;
}
@media (max-width: 600px) {
main {
margin: 20pt;
}
}
main > *{
text-align:justify;
}
*{
font-family:"Roboto";
}
main > sub > a {
text-decoration:none;
}
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment