top of page
Buscar

Hackeando Whatsapp (CVE-2025-55177)

  • Foto del escritor: Consultor Virtual CISO
    Consultor Virtual CISO
  • hace 1 día
  • 5 Min. de lectura

En septiembre del 2025, se informo de una grave vulnerabilidad que afecta a uno de los servicios de mensajería instantanea más usados en el mundo, hablamos de Whatsapp.


Hackeando Whatsapp (CVE-2025-55177)
Hackeando Whatsapp (CVE-2025-55177)

Hackeando Whatsapp: En terminos simples, se puede explotar la vulnerabilidad sin interacción del usuario y existe la posibilidad de tomar control del dispositivo.


A fines de septiembre de este año, se informo sobre una vulnerabilidad de alta gravedad, CVE-2025-55177, en el mecanismo de sincronización de dispositivos vinculados de WhatsApp. La vulnerabilidad afecta a WhatsApp para iOS en versiones anteriores a la 2.25.21.73, a WhatsApp Business para iOS en la versión 2.25.21.78, y a WhatsApp para Mac en la versión 2.25.21.78. El fallo se origina por una autorización incompleta de los mensajes de sincronización de dispositivos vinculados, lo que podría permitir que un usuario no relacionado desencadene el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima.


Detalles técnicos

  • La vulnerabilidad ha sido valorada con una puntuación CVSS de 5,4 (Medio) con vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N.

  • Se clasifica bajo la categoría CWE‑863 (Autorización incorrecta).

  • El fallo está asociado al procesamiento de los mensajes de sincronización de dispositivos vinculados: un atacante no autenticado (o no autorizado) podría enviar un mensaje de sincronización que WhatsApp procesa sin validar correctamente que el remitente tiene derecho a ello, y hacer que el dispositivo de la víctima cargue contenido desde una URL controlada por el atacante.

  • Además, se ha observado que esta vulnerabilidad fue usada en cadena con otra falla de nivel sistema operativo de Apple, la CVE‑2025‑43300, lo que potencia el riesgo ya que permite que, tras la autorización deficiente, el contenido malicioso ejecute código en el dispositivo.


Impacto

  • Se ha reportado que esta vulnerabilidad ha sido explotada en el mundo real, como parte de campañas dirigidas (targeted campaigns) que emplean ataques de tipo “zero-click” (sin interacción del usuario).

  • Según la empresa, menos de 200 usuarios podrían haber sido directamente notificados como potencialmente afectados en los últimos ~90 días.

  • La combinación de la autorización deficiente en WhatsApp y la vulnerabilidad de Apple permitía que actores de amenaza dirigieran dispositivos de personas de alto riesgo (por ejemplo, defensores de derechos humanos, periodistas) sin que estas realizaran ninguna acción.

  • Si bien la puntuación CVSS se sitúa en “Medio”, el contexto real (“zero-click”, sin que el usuario haga nada) eleva considerablemente el riesgo operativo en entornos de alto perfil.


Code Exploit Disponible (PoC)


Actualmente existe código de exploit público que implementa pruebas de concepto (PoC) para esta vulnerabilidad. Los equipos de ciberseguridad utilizan esas PoC para validar la explotabilidad en entornos controlados y determinar con precisión las implicancias técnicas. Estas pruebas permiten reproducir el modus operandi del atacante y evaluar el alcance del impacto: desde la posible exfiltración de información sensible y la toma de control del dispositivo, hasta fraudes a través de aplicaciones de pago y el abuso de mecanismos de autenticación multifactor para pivotar hacia otros sistemas. Realizar PoC en entornos aislados y con autorización es fundamental para estimar riesgos reales y diseñar medidas de mitigación efectivas.


PoC realizada por equipo de DarkNavy


Por sí sola, CVE-2025-55177 no garantiza necesariamente la toma total de control (RCE) del dispositivo. Sin embargo, sí permite que el proceso de sincronización cargue y procese contenido desde una URL arbitraria en el equipo objetivo, lo que puede derivar en exfiltración de datos, manipulación de información o acciones limitadas sobre la aplicación. Cuando se combina (encadena) con una vulnerabilidad a nivel de sistema operativo —como la mencionada CVE-2025-43300 de Apple— el riesgo  escala: esa cadena puede proporcionar la ruta para ejecutar código a nivel de sistema y, por tanto, posibilitar compromiso total del dispositivo y persistencia del spyware.


Por qué ocurre esto (explicación técnica breve):

  • CVE-2025-55177 es un fallo de autorización insuficiente en el manejo de mensajes de sincronización de dispositivos vinculados: permite que contenido remoto sea procesado por la app sin validar correctamente permisos o procedencia.

  • Ese contenido remoto puede explotar otras debilidades (por ejemplo, fallos en el motor de renderizado, librerías del sistema o APIs de iOS).

  • Si existe una vulnerabilidad de privilegio/ejecución en el SO (RCE/ESCALATION), el atacante puede usar el vector de la app como punto de entrada y luego elevar privilegios para controlar el equipo.

Impactos posibles (dependiendo del contexto y de si hay chaining):

  • Sin chaining: exposición de datos de la app, exfiltración, manipulación de mensajes, denegación de ciertos servicios dentro de la app.

  • Con chaining (app + OS vuln): ejecución remota, instalación de spyware, persistencia, acceso a sensores/archivos/credenciales y movimiento lateral hacia otros sistemas (p. ej. aprovechando 2FA).


Mitigación y recomendaciones

  • Las versiones vulnerables son:

    • WhatsApp para iOS anterior a v 2.25.21.73.

    • WhatsApp Business para iOS anterior a v 2.25.21.78.

    • WhatsApp para Mac anterior a v 2.25.21.78.

  • Meta / WhatsApp ya publicó correcciones: la versión parcheada para iOS fue la 2.25.21.73 (28 de julio 2025) y para WhatsApp Business iOS y Mac la versión 2.25.21.78 (4 de agosto 2025).

  • Se recomienda a usuarios y organizaciones:

    • Actualizar lo antes posible tanto la aplicación como el sistema operativo (iOS/macOS) para asegurarse de que la vulnerabilidad del sistema de Apple (CVE-2025-43300) también esté parcheada.

    • En casos de posible compromiso (grupos de alto riesgo, dispositivos de personas críticas), considerar un restablecimiento completo a fábrica del dispositivo para eliminar cualquier posible persistencia de spyware.

    • En un entorno corporativo o de gestión de riesgo, validar que ningún dispositivo cliente utilice versiones vulnerables de la app y establecer políticas de bloqueo o advertencia para dispositivos no actualizados.



Análisis de vCISO


Como profesionales de la ciberseguridad, esta vulnerabilidad presenta varias lecciones clave:


  1. “Low CVSS pero alto impacto real”: Un puntaje de 5,4 podría inducir a subestimar el riesgo, pero el contexto de uso (zero-click, chaining con OS bug, objetivo dirigido) muestra un elevado nivel de amenaza.

  2. Sin interacción del usuario: Las campañas de espionaje dirigidas aprovechan que la víctima no haga nada: no clicar enlace, no abrir archivo. Eso hace más complejo el modelo de defensa tradicional (phishing, base de ingeniería social).

  3. Gestión de dispositivos móviles & apps populares: Aplicaciones ampliamente utilizadas como WhatsApp pueden convertirse en vector de compromiso en entornos corporativos donde se permite BYOD o apps personales en dispositivos gestionados.

  4. Sincronización de dispositivos vinculados = superficie de ataque: En este caso el fallo está en el mecanismo de “dispositivo añadido/vinculado” que permite a WhatsApp extender la sesión a otros dispositivos. Esto evidencia que componentes “menos críticos” en apariencia (sincronización, multi-device) deben recibir atención en gestión de vulnerabilidades.

  5. Cadena de explotación (app + OS): El exploit no se limitó a la app, sino que encadenó un fallo en el sistema operativo de Apple. Esto significa que la remediación debe considerar la “superficie combinada” (app + sistema + librerías).

  6. Notificación a usuarios afectados & trazabilidad del riesgo reputacional: Aunque el número de víctimas fue reducido (<200), el impacto reputacional y de confianza es significativo, especialmente si entre los afectados hay personas de perfil elevado. Para vCISO, esto implica tener previsto un plan de comunicación y respuesta ante incidentes relacionados con aplicaciones de terceros.

  7. Política de dispositivos de alto riesgo: En entidades donde hay usuarios con perfil sensible (ej. ejecutivos, defensa, regulados), deben existir controles adicionales: bloqueo de apps no autorizadas, uso de modos de protección reforzada (por ejemplo, en iOS “Lockdown Mode”), monitoreo de dispositivos vinculados, auditoría de enlaces de sincronización, etc.



Equipo

vCISO


Comentarios

  • LinkedIn
  • YouTube

©2022 por vCISO. 

bottom of page