Investigadores descubrieron otra "text-bomb" en Android: si se envía un texto específico, rompe la app.

Un nuevo fallo fue descubierto este fin de semana en WhatsApp. Se trata de un mensaje específico que, si se envía, cierra de manera inmediata la aplicación a los usuarios Android.

El descubrimiento surgió durante la semana, cuando un investigador en seguridad informática detectó que si se envía el texto "http://wa.me/settings", esto generaba un cierre abrupto para los teléfonos Android. Es decir, cada vez que se quiera entrar a u chat que contenga ese mensaje, la app se cerrará. Es lo que se conoce como “text-bomb” o “mensaje bomba”.

El bug, como se le dice a este tipo de fallas en el ambiente informático, se detectó primero en grupos pero también aplica a mensajes individuales.

Al enviarlo se produce un problema de denegación de servicio (DoS): “Ocurre cuando un atacante logra obstruir, de alguna manera, el acceso a un servicio determinado por parte de los usuarios legítimos”, explica a Clarín Jaime Restrepo, experto en seguridad informática y uno de los que levantó las alertas al enterarse del problema.

“Para que se entienda más fácil, imaginá que alguien inserta una llave incorrecta en la cerradura de tu casa y la rompe dentro para obstruir el ojo de la cerradura: esto equivaldría a un ataque DDoS, porque esto impedirá que vos, como usuario legítimo de la casa, puedas ingresar a ella”, agrega el fundador de DragonJAR.

"Esto que pasa no es una vulnerabilidad, es un bug, el famoso error de programación. Cuando la app se cierra es una 'excepción no controlada': en criollo, se colgó. Hay un error en el código y la app se cierra porque no sabe que hacer y se cuelga", explica Maximiliano Firtman, programador experto en aplicaciones de IT Master.

Así, para poder explotar este bug sólo se necesita apenas que un miembro del grupo envíe ese mensaje o, incluso, también puede romper un chat entre dos personas.

El fallo: cómo funciona y cómo arreglarlo
Si por alguna razón esto sucede, lo que se necesita es que alguien desde un dispositivo con iOS borre ese mensaje. De no contar con nadie que tenga un iPhone, la alternativa es hacerlo vía WhatsApp Web.

Por supuesto, lo más seguro sería eliminar y/o bloquear al miembro que haya enviado ese mensaje para evitar que vuelva a suceder.

Aún no está claro por qué ocurre este problema. “Todavía no contamos con mucha información al respecto, sin embargo, es posible que se trate de un problema relacionado con la interpretación de esa URL en particular, en la aplicación de WhatsApp para Android. Debemos tener en cuenta que la URL wa.me’ es oficial de WhatsApp”, recuerda Restrepo.

"El link, wa.me, es lo que se llama 'deep linking'. Es la posibilidad de hacer un link que vaya a un lugar en particular de una app: por ejemplo, un chat específico con una persona o un grupo de WhatsApp", detalla Firtman.

"Lo que puede estar pasando acá es que cuando hay un link wa.me, la app trata de verificar si a esa persona que se está linkeando el usuario la tiene agendada o no, para poner el nombre. Y cuando va a mirar, como no es un número de teléfono sino que dice 'settings' [configuración], se debe colgar", interpreta el experto.

Sin embargo, es probable que se trate de una falla más en una larga lista de problemas de “text bombs” que ya tuvo la aplicación.

En 2018, un texto con un caracter específico del idioma indio generaba un crash en dispositivos iOS y deshabilitaba el acceso a WhatsApp y otras aplicaciones de mensajería.

Quizás uno de los más conocidos fue uno llamado “Effective Power”, que se detectó por primera vez en mayo de 2015, y que no tenía que ver con Whatsapp sino con el servicio de iMessage.

Como sea, la mecánica es siempre la misma: un tipo de texto que rompe, da de baja o elimina mensajes de una aplicación.

Dar a conocer la solución es el antídoto temporal para el problema, hasta que WhatsApp lo arregle con una actualización, lo cual seguramente no tarde mucho en llegar por la escala que tiene este problema.


Martes, 30 de mayo de 2023