Avrebbe potuto rivelarsi veicolo di attacchi di danni dei 200 milioni di utenti che, sulla vasta rete dei 900 milioni di contatti, utilizzano WhatsApp su piattaforma desktop sfruttando il servizio lanciato all’inizio del 2015. I tecnici dell’app di messaggistica si sono rapidamente industriati, il bug è stato risolto prima della disclosure.
Ad individuare il problema è stata la security company Check Point, il 21 agosto: WhatsApp Web permetteva di inviare dei file eseguibili sotto forma di biglietti da visita elettronici, vCard, a causa della mancata validazione che invece si sarebbe dovuta operare su quel formato e sul tipo di file.
A qualsiasi malintenzionato sarebbe bastato disporre del numero di telefono del contatto da colpire e confezionare una vCard zavorrata di codice a propria scelta sfruttando l’attributo “name”. E magari personalizzarla con un’immagine accattivante, per trasformare il tradizionale formato dedicato allo scambio di contatti in un invito al download di qualsivoglia minaccia, mascherata da servizi come pacchetti di emoji, fantasiose estensioni, immagini e via dicendo.
Check Point si è complimentata con il team dedicato alla sicurezza di WhatsApp: in meno di una settimana è stato rilasciato un aggiornamento del client web capace di risolvere il problema (v0.1.4481).
Gaia Bottà
Ti potrebbe interessare
9 set 2015