Per diverso tempo le versioni di WhatsApp disponibili su smartphone con sistema operativo Android e iOS sono state interessate da una grave vulnerabilità: semplicemente inoltrando una videochiamata, un malintenzionato avrebbe potuto assumere il controllo completo dell’applicazione. Scoperto alla fine di agosto, il bug è stato risolto solamente nei giorni scorsi attraverso il rilascio di un fix.
WhatsApp: il bug delle videochiamate
A portare alla luce il problema è stata Natalie Silvanovich, ricercatrice in forza al team Project Zero di Google impegnata proprio nello scovare intoppi legati al codice dei software. Per ovvie ragioni il tutto è rimasto coperto da silenzio fino a questi giorni, così da non favorire alcun utilizzo malevolo della vulnerabilità. Un responsabile del team di WhatsApp ha affermato che fortunatamente sembrano non esserci state conseguenze per gli oltre 1,2 miliardi di utenti distribuiti a livello globale. Questa la dichiarazione attribuita a un portavoce della squadra al lavoro sull’app, affidata alle pagine del sito ZDNet.
WhatsApp ha molto a cuore la sicurezza dei suoi utenti. Ci confrontiamo costantemente con i ricercatori di tutto il mondo per garantire che WhatsApp rimanga sicuro e affidabile. Abbiamo prontamente rilasciato un fix per l’ultima versione di WhatsApp che risolve il problema.
Memory corruption bug in WhatsApp's non-WebRTC video conferencing implementation https://t.co/5sCmNznh4P
— Natalie Silvanovich (@natashenka) October 9, 2018
Nel suo intervento su Twitter, la ricercatrice ha descritto il bug come legato alla “corruzione della memoria nell’implementazione delle videochiamate non-WebRTC” provocata dall’impiego del Real-time Transport Protocol per la gestione delle videochiamate. L’update correttivo per le applicazioni mobile è stato rilasciato il 28 settembre su Android e il 3 ottobre su iOS. Il consiglio, per chi ancora non lo avesse fatto, è ovviamente quello di procedere immediatamente all’installazione dell’aggiornamento e, in ogni caso, di non rispondere a contatti sospetti.
Problemi con la segreteria telefonica
Non è il solo problema legato alla sicurezza che interessa WhatsApp. All’inizio del mese la Israel National Cyber Security Authority ha posto l’attenzione su una tecnica che permetterebbe a un malintenzionato di entrare in possesso di un qualsiasi account semplicemente conoscendone il numero di telefono e sfruttando il livello di protezione tutt’altro che eccelso delle caselle vocali.
In breve, l’autore dell’attacco installa l’applicazione sul proprio dispositivo e digita in fase di autenticazione il numero della vittima. Questa riceve sul proprio terminale un SMS contenente le sei cifre necessarie per il login, ma se l’operazione viene effettuata di notte con tutta probabilità il messaggio non arriva a destinazione poiché lo smartphone è spento. WhatsApp permette quindi di ottenere il codice sotto forma di telefonata, ma se il device non è acceso l’operazione si traduce in una comunicazione audio depositata nella casella vocale, la segreteria telefonica.
Questo tipo di servizio, per alcuni operatori, risulta accessibile mediante la semplice immissione di un PIN a quattro cifre impostato su “0000” o “1234” se mai modificato dall’utente. Ecco dunque che ascoltando il messaggio il malintenzionato può completare il login all’account della vittima e avere accesso completo a tutte le sue informazioni, chat comprese. In questo caso WhatsApp non può intervenire direttamente sulla fonte della vulnerabilità, se non evitandone l’abuso rivedendo il proprio sistema di autenticazione.