Il mese scorso WhatsApp ha tranquillamente corretto l'ennesima vulnerabilità critica nella sua app che avrebbe potuto consentire agli aggressori di compromettere in remoto i dispositivi di destinazione e potenzialmente rubare messaggi e file di chat protetti memorizzati su di essi.
La vulnerabilità - rilevata come CVE-2019-11931 - è un problema di overflow del buffer basato su stack che risiedeva nel modo in cui le versioni precedenti di WhatsApp analizzavano i metadati del flusso elementare di un file MP4, causando attacchi di negazione del servizio o di esecuzione di codice in modalità remota.
Per sfruttare a distanza la vulnerabilità, tutto ciò di cui un utente malintenzionato ha bisogno è il numero di telefono degli utenti target e inviare loro un file MP4 pericoloso su WhatsApp, che alla fine può essere programmato per installare silenziosamente un'app backdoor o spyware dannosa sui dispositivi compromessi.
La vulnerabilità riguarda sia i consumatori che le app aziendali di WhatsApp per tutte le principali piattaforme, tra cui Google Android, Apple iOS e Microsoft Windows.
Secondo un avviso pubblicato da Facebook, proprietario di WhatsApp, l'elenco delle versioni delle app interessate è il seguente:
- Versioni Android precedenti alla 2.19.274
- Versioni iOS precedenti alla 2.19.100
- Versioni di Enterprise Client precedenti alla 2.25.3
- Versioni di Windows Phone precedenti e inclusi 2.18.368
- Versioni Business for Android precedenti al 2.19.104
- Versioni Business for iOS precedenti alla 2.19.100
L'ambito, la gravità e l'impatto della vulnerabilità appena patchata sembrano simili a una recente vulnerabilità delle chiamate VoIP WhatsApp sfruttata dalla società israeliana NSO Group per installare spyware Pegasus su quasi 1400 dispositivi Android e iOS mirati in tutto il mondo.
Al momento della stesura di questo documento, non è chiaro se la vulnerabilità di MP4 sia stata anche sfruttata come zero-day in natura prima che Facebook venisse a conoscenza e riparasse.
Nel frattempo, se ti consideri uno dei potenziali obiettivi e hai ricevuto un file video MP4 casuale e inaspettato su WhatsApp da un numero sconosciuto negli ultimi mesi, dovresti prestare maggiore attenzione ai prossimi sviluppi di questo evento.
La vulnerabilità di WhatsApp MP4 è arrivata solo due settimane dopo che Facebook ha fatto causa al gruppo NSO per aver abusato del servizio WhatsApp per indirizzare i propri utenti.
Tuttavia, almeno in India, non è andata bene come previsto, e lo stesso colosso dei social media è stato esaminato dal governo che ha sollevato domande sulla sicurezza della sua app crittografata end-to-end piuttosto che cercare NSO Group per colpendo oltre 100 dei suoi cittadini.
Per ora, si consiglia a tutti gli utenti di assicurarsi che stiano eseguendo l'ultima versione di WhatsApp sul proprio dispositivo e disabilitare i download automatici di immagini, file audio e video dalle impostazioni dell'app.
Intanto un portavoce di Whatsapp ha confermato che il difetto RCE di WhatsApp appena segnalato non è stato sfruttato in natura per indirizzare i propri utenti.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
