¡WhatsApp sin clics y sin días! Con solo una imagen, controlas tu iPhone.

Redazione RHC : 29 septiembre 2025 21:36

Algún desarrollador de software espía probablemente esté haciendo gimnasia… arrancándose los pelos. Pero es la típica farsa: alguien encuentra, alguien cobra, alguien integra, y luego el investigador de turno aparece para arruinar la fiesta, por ética o por alguna otra razón teatral.

Recientemente se descubrió una falla de seguridad en WhatsApp que permite la ejecución remota de código (RCE) sin hacer clic. Esta vulnerabilidad ya está siendo explotada activamente por atacantes en plataformas de Apple, como iOS, macOS y iPadOS.

Investigadores de DarkNavyOrg descubrieron una falla mediante la explotación de dos vulnerabilidades, CVE-2025-55177 y CVE-2025-43300, en una prueba de concepto. Esta vulnerabilidad permite comprometer dispositivos de forma silenciosa, sin necesidad de intervención del usuario.

Las víctimas reciben un archivo de imagen DNG malicioso a través de WhatsApp y, tras un análisis automático, obtienen el control total del dispositivo. La explotación comienza con CVE-2025-55177, una falla crítica en la lógica de gestión de mensajes de WhatsApp.

Por defecto, WhatsApp no puede determinar si un mensaje entrante proviene realmente de un dispositivo conectado autorizado. Un atacante puede eludir las comprobaciones de seguridad iniciales e incluir un archivo DNG falso en el historial de chat de la víctima modificando la fuente del mensaje.

Dado que WhatsApp procesa los mensajes automáticamente, incluso antes de que el usuario los vea, la carga útil se entrega sin notificar a la víctima. Una vez entregada, la carga útil DNG malformada activa la segunda vulnerabilidad, CVE-2025-43300. Esta vulnerabilidad reside en la biblioteca de análisis de archivos DNG, donde una comprobación incorrecta de límites provoca un error de corrupción de memoria.

Cuando el motor de procesamiento multimedia de WhatsApp intenta analizar la estructura DNG malformada, sobrescribe regiones críticas de memoria, lo que permite a un atacante secuestrar el flujo de ejecución y ejecutar código arbitrario en el dispositivo objetivo. Una explotación exitosa compromete completamente el dispositivo y, en este escenario, los atacantes pueden realizar todas las acciones típicas del spyware:

• Exfiltrar datos personales, incluidos mensajes, contactos, fotos y credenciales;
• Interceptación de transmisiones de audio y vídeo en vivo desde la cámara y el micrófono;
• Instalar puertas traseras persistentes o malware para acceso a largo plazo;
• Manipular la configuración del sistema, desactivar funciones de seguridad o eliminar evidencia de compromiso.

Las víctimas no tienen la capacidad de inspeccionar o bloquear la carga maliciosa antes de la ejecución, y las protecciones de puntos finales estándar pueden no marcar el archivo DNG malformado como malicioso.

DarkNavyOrg está investigando exploits de clic cero asociados. El grupo ha identificado una vulnerabilidad relacionada con Samsung (CVE-2025-21043) que se encuentra actualmente bajo investigación. Esta reciente serie de descubrimientos pone de relieve la continua dificultad para proteger los analizadores de archivos sofisticados en aplicaciones de mensajería multiplataforma, donde incluso formatos seguros como DNG pueden explotarse como canales de ataque.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli