QR code per la pagina originale

WhatsApp risponde: il report sul bug è inesatto

WhatsApp nega che la sua applicazione contenga una vulnerabilità che permette di accedere al database dei messaggi. La colpa è da addebitare ad altre app.

,

Ieri uno sviluppatore olandese ha individuato una grave vulnerabilità nel client di messaggistica per Android che permette di accedere al database dei messaggi conservato sulla card microSD del dispositivo mobile. WhatsApp ha oggi rilasciato un comunicato con il quale nega ogni responsabilità, sostenendo che il report di Bas Bosschert è impreciso e che il problema si può verificare con qualsiasi app contenente malware.

I messaggi inviati e ricevuti sono memorizzati sulla memoria esterna all’interno di tre file, uno dei quali criptato. La chiave però è sempre la stessa, per cui è molto facile estrarla utilizzando un tool molto diffuso. Un malintenzionato potrebbe nascondere poche righe di codice in una applicazione apparentemente legittima distribuita tramite uno store alternativo (il negozio digitale di Google rileva le app fraudolente). L’utente quindi non si accorgerà che il database dei messaggi verrà inviato ad un server remoto. Questa è la risposta dell’azienda relativa al bug scoperto da Bosschert:

Siamo a conoscenza dei report riguardanti una “falla di sicurezza”. Sfortunatamente, questi report non dipingono un quadro accurato e sono esagerati. In condizioni normali, i dati sulla card microSD non sono esposti. Tuttavia, se il proprietario di un dispositivo scarica malware o virus, il telefono correrà dei rischi. Come sempre, raccomandiamo agli utenti di WhatsApp di installare tutti gli aggiornamenti per essere certi di avere gli ultimi fix di sicurezza e incoraggiamo gli utenti a scaricare solo software affidabili da aziende rinomate. L’attuale versione di WhatsApp su Google Play è stata aggiornata per proteggere ulteriormente i nostri utenti contro le app maligne.

In altre parole, WhatsApp sostiene che il problema non sia direttamente imputabile alla sua applicazione, ma alla presenza di malware o virus che accedono ai messaggi conservati sulla microSD. Non è chiaro però quali siano le “ulteriori protezioni” incluse nella versione 2.11.186. Il changelog non contiene nessun riferimento alle conversazioni. In ogni caso, il consulente olandese ha confermato che il suo proof-of-concept funziona anche con la release più recente.

Speciale: WhatsApp

Fonte: TechCrunch • Notizie su: ,