Una errada al filtre d'imatges de WhatsApp deixava al descobert dades de l'app

L'aplicació de missatgeria instantània WhatsApp està afectada per una vulnerabilitat en la funció de filtre d'imatges. El problema, que ja s'ha solucionat, obria la porta que algun pirata informàtic pogués accedir a informació sensible emmagatzemada a la memòria de l'aplicació.

L'errada de seguretat, denominada CVE-2020-1910, l'ha descobert la companyia de seguretat Check Point Research i n'ha informat WhatsApp. La vulnerabilitat s'originava en la funció de filtre d'imatge de l'aplicació, un procés que modifica els píxels d'una imatge original per aconseguir efectes visuals com desenfocar-la o fer-la més nítida.

En la investigació, Check Point Research ha descobert que el canvi entre diversos filtres en arxius GIF provocava el bloqueig de WhatsApp. I ha identificat un d'aquests bloquejos com una alteració de la memòria. Per exemple, un possible detonant d'aquesta vulnerabilitat podria haver estat que un usuari obrís un fitxer adjunt amb un fitxer d'imatge maliciós, intentés aplicar-hi un filtre i, posteriorment, enviés la imatge amb el filtre aplicat cap al possible atacant.

En un comunicat, Check Point Research explica que per poder aprofitar-se de la vulnerabilitat, s'haurien necessitat "passos complexos i una extensiva interacció de l'usuari". WhatsApp, que ha comunicat que a partir de la versió 2.21.1.13 de l'aplicació, l'errada ja està solucionada, ha dit que no té constància que ningú s'hagi aprofitat d'aquesta vulnerabilitat.

Perquè un ciberdelinqüent hagués pogut explotar aquesta errada de vulnerabilitat i hagués accedit a informació sensible de la memòria de l'aplicació, hauria d'haver enviat una imatge tractada amb aquest tipus de filtres, segons ha explicat l'empresa de ciberseguretat.

2.000 milions d'usuaris arreu del món

WhatsApp, propietat de Facebook des del febrer del 2014, és l'aplicació de missatgeria mòbil més popular del món, amb aproximadament 2.000 milions d'usuaris actius.

Cada dia, a tot el món, s'envien aproximadament 55.000 milions de missatges a través de WhatsApp, amb 4.500 milions d'imatges i 1.000 milions de vídeos compartits.

Multada amb 225 milions d'euros

Dijous també es va saber que el Comissionat de Privacitat de Dades d'Irlanda ha multat WhatsApp amb 225 milions d'euros. La multa inicial era de 50 milions, però el Comitè Europeu de Protecció de Dades, va instar a augmentar-la fins a aquella quantitat.

La investigació va començar el 10 de desembre del 2018 i, segons un comunicat del Comissionat irlandès, tenia com a objectiu esbrinar si WhatsApp havia complert les obligacions del Reglament Europeu de Protecció de Dades per informar els usuaris i els no usuaris del servei:

"Això inclou informació proporcionada als propietaris de les dades sobre el processament d'informació entre WhatsApp i altres empreses de Facebook."

WhatsApp ha declarat que la multa és "completament desproporcionada" i que la recorrerà.

Si bé la multa sembla molt elevada, és molt lluny dels 746 milions d'euros que l'agència de privacitat de Luxemburg va imposar a Amazon al juliol.

Malgrat el volum de la multa, Carissa Véliz, professora de Filosofia de la Universitat d'Oxford i experta en dades i privacitat, afirmava al seu compte de Twitter que aquestes grans empreses haurien de rebre multes de milers de milions i no pas de milions, perquè si no, per a elles, és com "pagar un tiquet de pàrquing". Hi afegia que el 2020 Facebook va guanyar 86.000 milions de dòlars.

Big #tech companies like #Facebook have to start losing *billions* of euros, not millions, for them to get worried and change their ways. Otherwise it's just parking tickets. Facebook's revenue in 2020 was 86 billion USD; you do the math. https://t.co/ImRPx8ic4I

— Carissa Véliz (@CarissaVeliz) September 2, 2021