Meta dijo el martes que ha puesto a disposición una útil indicación Proxy de investigación de WhatsApp a algunos de sus investigadores de recompensas de errores desde hace mucho tiempo para ayudar a mejorar el software e investigar de modo más efectiva el protocolo de red de la plataforma de transporte.
La idea es allanar la profundización en las tecnologías específicas de WhatsApp, ya que la aplicación sigue siendo una lucrativa superficie de ataque para actores patrocinados por el estado y proveedores comerciales de software infiltrado.
La compañía incluso señaló que está estableciendo una iniciativa piloto en la que invitará a equipos de investigación a centrarse en el demasía de la plataforma con soporte para ingeniería y herramientas internas. “Nuestro objetivo es resumir la barrera de entrada para que académicos y otros investigadores que tal vez no estén tan familiarizados con las recompensas por errores se unan a nuestro software”, añadió.
El mejora se produce cuando el hércules de las redes sociales dijo que ha otorgado más de 25 millones de dólares en recompensas por errores a más de 1.400 investigadores de 88 países en los últimos 15 abriles, de los cuales más de 4 millones de dólares se pagaron solo este año por casi 800 informes válidos. En total, Meta dijo que recibió aproximadamente de 13.000 presentaciones.
Algunos de los descubrimientos de errores notables incluyeron un error de garra incompleta en WhatsApp preliminar a v2.25.23.73, WhatsApp Business para iOS v2.25.23.82 y WhatsApp para Mac v2.25.23.83 que podría ocurrir permitido a un usufructuario activar el procesamiento de contenido recuperado de una URL arbitraria en el dispositivo de otro usufructuario. No hay evidencia de que el problema haya sido explotado en la naturaleza.
Meta incluso lanzó un parche a nivel de sistema operante para mitigar el aventura planteado por una vulnerabilidad rastreada como CVE-2025-59489 (puntaje CVSS: 8.4) que podría ocurrir permitido que aplicaciones maliciosas instaladas en dispositivos Quest manipularan aplicaciones Unity para obtener la ejecución de código gratuito. El investigador de Flatt Security, RyotaK, ha sido agradecido por descubrir e informar la error.
Un simple laudo de seguridad en WhatsApp expone 3.500 millones de números de teléfono
Por postrer, Meta dijo que agregó protecciones anti-scraping a WhatsApp luego de un crónica que detallaba un método novedoso para enumerar cuentas de WhatsApp a escalera en 245 países y crear un conjunto de datos que contenga a cada usufructuario, evitando las restricciones de traba de velocidad del servicio. WhatsApp tiene aproximadamente de 3.500 millones de usuarios activos.
El ataque aprovecha una función legítima de descubrimiento de contactos de WhatsApp que requiere que los usuarios determinen primero si sus contactos están registrados en la plataforma. Básicamente, permite a un atacante compendiar información básica de comunicación conocido, contiguo con sus fotos de perfil, texto Acerca de y marcas de tiempo asociadas con actualizaciones esencia relacionadas con los dos atributos. Meta dijo que no encontró indicios de que alguna vez se haya abusado de este vector en un contexto zorro.
Curiosamente, el estudio encontró millones de números de teléfono registrados en WhatsApp en países donde está oficialmente prohibido, incluidos 2,3 millones en China y 1,6 millones en Myanmar.
“Normalmente, un sistema no debería contestar a un número tan elevado de solicitudes en tan poco tiempo, especialmente cuando provienen de una única fuente”, afirmó Gabriel Gegenhuber, investigador de la Universidad de Viena y autor principal del estudio. “Este comportamiento expuso la error subyacente, que nos permitió emitir solicitudes efectivamente ilimitadas al servidor y, al hacerlo, mapear los datos de los usuarios en todo el mundo”.
“Ya habíamos estado trabajando en sistemas anti-scraping líderes en la industria, y este estudio fue fundamental para realizar pruebas de estrés y confirmar la poder inmediata de estas nuevas defensas”, dijo Nitin Gupta, vicepresidente de ingeniería de WhatsApp, a The Hacker News en un comunicado.
“Es importante destacar que los investigadores eliminaron de forma segura los datos recopilados como parte del estudio y no encontramos evidencia de que actores maliciosos abusaran de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al secreto de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron comunicación a ningún número no conocido”.
A principios de este año, Gegenhuber et al incluso demostraron otra investigación titulada Careless Whisper que mostró cómo los recibos de entrega pueden suscitar importantes riesgos de privacidad para los usuarios, permitiendo así a un atacante expedir mensajes específicamente diseñados que pueden activar recibos de entrega sin su conocimiento o consentimiento y extraer su estado de actividad.
“Al utilizar esta técnica con adhesión frecuencia, demostramos cómo un atacante podría extraer información privada, como seguir a un usufructuario a través de diferentes dispositivos complementarios, inferir su horario diario o deducir sus actividades actuales”, anotaron los investigadores.
“Adicionalmente, podemos inferir el número de sesiones de usufructuario actualmente activas (es sostener, dispositivos principales y complementarios) y su sistema operante, así como editar ataques de agotamiento de medios, como agotar la grupo o la asignación de datos de un usufructuario, todo sin suscitar ninguna notificación en el costado objetivo”.
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de WhatsApp y dejar en claro que Unity parchó y emitió CVE-2025-59489).
