Una investigación llevada a cabo por el equipo de Modern OS Security, de la firma de seguridad Symantec, ha descubierto una nueva vulnerabilidad en las aplicaciones de mensajería WhatsApp y Telegram para dispositivos Android, que posibilitaría que actores maliciosos pudieran manipular los archivos multimedia almacenados, o directamente puedan ser reemplazados por otros bajo distintos fines.
Esta nueva vulnerabilidad ha recibido el nombre de Media File Jacking, y aprovecha el lapso del tiempo «crítico» que transcurre desde que los archivos recibidos por las aplicaciones de mensajería son guardados y el momento en el que se ponen a disposición de los usuarios en pantalla.
Esta vulnerabilidad es posible gracias al uso del almacenamiento de archivos multimedia en directorios públicos por las propias aplicaciones. En este sentido, la firma de seguridad señala que la vulnerabilidad afecta de forma predeterminada a WhatsApp para Android, mientras que en el caso de Telegram, sólo afecta si se habilita algunas funciones.
Symantec explica que los archivos multimedia guardados en el almacenamiento interno son accesibles solo por las propias aplicaciones, por lo que otras aplicaciones no pueden tener acceso a ellos, mientras que los archivos guardados en directorios públicos de almacenamientos externos permiten su lectura y escritura por cualquiera, lo que abre las puertas a que aplicaciones maliciosas, o incluso los usuarios, puedan modificarlos o reemplazarlos.
A este respecto, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo en la ruta / storage / emulated / 0 / WhatsApp / Media /, mientras que Telegram hará lo propio si habilita la función «Guardar en galería», guardando los archivos multimedia en la ruta / storage / emulated / 0 / Telegram /, siendo ambos directorios públicos, según apuntan.
Ambas redes de mensajería ya fueron informadas de esta vulnerabilidad. Los usuarios de iOS quedan exentos de la misma.