Il bug di WhatsApp potrebbe aver consentito agli hacker di leggere i tuoi file

WhatsApp ha corretto una falla nella sicurezza nelle sue app desktop il mese scorso che avrebbe potuto potenzialmente consentire agli hacker di accedere ai file locali del tuo computer. Scoperta da un ricercatore di sicurezza informatica presso PerimeterX, la vulnerabilità ha colpito i client Windows e Mac del servizio di messaggistica quando erano associati a un iPhone.

Il difetto è stato trovato all'interno della Content Security Policy di WhatsApp, un livello di sicurezza aggiuntivo che le aziende spesso impiegano per prevenire un certo insieme di attacchi e ha reso possibile ad attori malintenzionati di manipolare messaggi e collegamenti attraverso un metodo chiamato Cross-Site Scripting.

Quando un utente tocca uno di questi testi adulterati, concede inconsapevolmente all'autore dell'attacco le autorizzazioni per leggere i file locali del proprio computer, nonché per iniettare codici dannosi. Sebbene la vulnerabilità richiedesse l'interazione dell'utente per funzionare, era possibile eseguirla da remoto.

“Una vulnerabilità in WhatsApp Desktop quando associato a WhatsApp per iPhone consente lo scripting cross-site e la lettura di file locali. Per sfruttare la vulnerabilità è necessario che la vittima faccia clic sull'anteprima di un collegamento da un messaggio di testo appositamente predisposto ", ha scritto la società madre Facebook in un avviso di sicurezza.

Il bug interessa le build di WhatsApp Desktop precedenti alla v0.3.9309 e le versioni di WhatsApp per iPhone precedenti alla 2.20.10. È stato risolto il 21 gennaio 2020. Pertanto, per assicurarti di essere al sicuro, vai avanti e aggiorna l'app WhatsApp sul tuo computer e iPhone.

"Le versioni precedenti del framework Chromium di Google Chrome, utilizzate dalle versioni vulnerabili dell'applicazione desktop WhatsApp, sono suscettibili a queste iniezioni di codice, sebbene le versioni più recenti di Google Chrome abbiano protezioni contro tali modifiche JavaScript. Altri browser come Safari sono ancora aperti a queste vulnerabilità ", ha spiegato il fondatore e CTO di PerimeterX, Ido Safruti.

La vulnerabilità non ha alcun impatto su Android perché, a differenza di iOS, dispone di protezioni aggiuntive contro i banner Javascript. "IOS ha omesso questo controllo, che abilitava il caricamento di banner con contenuti dannosi sui dispositivi iOS", ha aggiunto un portavoce di PerimeterX.

Nell'ultimo anno, WhatsApp ha avuto difficoltà a tenere fuori le vulnerabilità della sicurezza. A novembre, il gigante della messaggistica di proprietà di Facebook ha corretto un difetto che avrebbe potuto consentire agli hacker di assumere il controllo di un telefono con solo un file MP4. Qualche settimana fa, è stato scoperto che lo stesso bug comprometteva anche il telefono di Jeff Bezos di Amazon e i dati sensibili. Il CEO di Telegram in seguito, in un pungente post sul blog, ha accusato WhatsApp di aver deliberatamente piantato backdoor per le forze dell'ordine e di averle mascherate come bug quando vengono scoperte.