MaliciousCard, grave vulnerabilità in WhatsApp Web

Kasif Dekel, ricercatore di sicurezza di Check Point, ha scoperto una grave vulnerabilità in WhatsApp Web, il servizio che permette di ricevere e inviare messaggi utilizzando un browser desktop. Sfruttando il formato vCard, un malintenzionato potrebbe inviare una scheda contatto ed eseguire codice arbitrario sul computer della vittima. Per eseguire l’attacco è sufficiente conoscere il numero di telefono associato all’account WhatsApp.

WhatsApp Web consente agli utenti di visualizzare qualsiasi allegato che può essere inviato dall’applicazione mobile, ovvero immagini, video, file audio e le schede dei contatti. La vulnerabilità è presente proprio nelle contact card, in particolare nel modo in cui il client web gestisce il formato vCard. Il messaggio ricevuto sembra legittimo, ma quando l’utente apre la scheda per leggere le informazioni del contatto viene eseguito il codice infetto sul computer. È possibile quindi creare un finto contatto e nascondere un file eseguibile.

WhatsApp usa una versione personalizzata dello standard XMPP (Extensible Messaging and Presence Protocol), ma non effettua nessuna validazione del formato vCard o del contenuto del file. Un malintenzionato può cambiare il nome della scheda e usare icone accattivanti per eseguire un attacco di phishing. La vulnerabilità può essere sfruttata per distribuire diversi tipi di malware, come bot, ransomware e RAT.

Check Point ha segnalato il problema a fine agosto e, fortunatamente, WhatsApp ha chiuso la falla di sicurezza con la versione 0.1.4481 del client web. Il bug poteva avere conseguenze piuttosto gravi per i 200 milioni di utenti che usano WhatsApp Web ogni mese.