Scoperta una nuova vulnerabilità nel codice di WhatsApp. Permette a un malintenzionato di compromettere l’integrità del dispositivo in cui è installata l’applicazione provocando un buffer overflow per poi procedere all’esecuzione di comandi da remoto o mettendo a segno un attacco di tipo Denial of Service. Tutto ciò che serve è un file MP4 confezionato ad hoc.
Attacco a WhatsApp con un file MP4
Un problema classificato come “critico” e che interessa le modalità di gestione dei contenuti MP4 da parte di WhatsApp. Stando alle informazioni diffuse nel fine settimana da GBHackers, la falla è presente nelle release Android (precedenti alla 2.192.74), in quelle iOS (precedenti alla 2.19.100), nell’Enterprise Client (precedenti alla 2.25.3), in Business for Android (precedenti alla 2.19.104), in Business for iOS (precedenti alla 2.19.100) e nell’edizione Windows Phone (fino alla 2.18.368).
Mediante un attacco di questo tipo un malintenzionato è potenzialmente in grado di introdurre codice maligno nel dispositivo, sottrarre informazioni sensibili dalla memoria (messaggi e non solo, anche foto, video e documenti) o attivare microfoni e fotocamere per spiare l’utente.
Non è la prima volta che le difese di WhatsApp vengono messe in ginocchio da una dinamica di questo tipo: il mese scorso era stata lanciato un allarme simile, con una falla da sfruttare mediante l’invio di una GIF appositamente corrotta.
Per mettersi al sicuro l’utente può mantenere l’applicazione aggiornata e guardarsi bene dall’aprire file o filmati (in particolare quelli con estensione MP4) provenienti da fonti non conosciute. Facebook ha dichiarato di aver preso in carico il problema, etichettando la vulnerabilità (CVE-2019-11931) e mettendosi al lavoro per porvi rimedio nel minor tempo possibile. Al momento non si hanno notizie di exploit o di violazioni.
Restando in tema, a fine ottobre il team al lavoro su WhatsApp ha mosso un’accusa nei confronti dell’israeliana NSO Group per aver messo a punto lo spyware Pegasus in grado di sfruttare un’altra vulnerabilità dell’applicazione a fini di spionaggio, mettendo lo strumento nelle mani del miglior offerente, governi compresi.