QR code per la pagina originale

WhatsApp, bug permette di accedere ai file del PC

Un ricercatore di sicurezza ha scoperto una vulnerabilità di WhatsApp Desktop che permette l'accesso ai file sul computer tramite un particolare messaggio.

,

Aggiornamento

Un portavoce di WhatsApp ha rilasciato il seguente comunicato:

Collaboriamo regolarmente con i principali ricercatori che si occupano di sicurezza informatica per individuare in anticipo potenziali minacce per i nostri utenti. In questo caso, abbiamo risolto un problema che avrebbe teoricamente potuto avere un impatto sugli utenti di iPhone che hanno cliccato su un link dannoso mentre usavano WhatsApp da desktop. Il bug è stato prontamente risolto attraverso un aggiornamento implementato da metà dicembre.

Un ricercatore di sicurezza di PerimeterX ha scoperto una grave vulnerabilità nelle versioni desktop di WhatsApp. Il bug, risolto da Facebook nelle versioni più recenti del software, permetteva di leggere i file sul computer utilizzando un particolare messaggio durante un attacco cross-site scripting.

La vulnerabilità era presente nelle versioni di WhatsApp Desktop precedenti alla 0.3.9309 e interessava gli utenti che abbinavano il software con le versioni di WhatsApp per iOS precedenti alla 2.20.10. Era sufficiente il clic su un link inserito nel corpo del messaggio per accedere ai file sul computer, installare malware ed eseguire altre operazioni illecite. Il ricercatore di PerimeterX, Gal Weizman, ha trovato la fonte della vulnerabilità, ovvero la vecchia versione di Electron usata per WhatsApp Desktop.

Electron è un framework open source che permette di sviluppare applicazioni desktop utilizzando tecnologie web. Ciò consente di usare lo stesso codice sorgente per le applicazioni desktop e web. Electron è basato su Chromium e quindi viene aggiornato nello stesso momento. Facebook ha invece utilizzato la versione di Electron basata su Chromium 69 che include la vulnerabilità suddetta. È sufficiente nascondere uno specifico codice JavaScript nel messaggio per accedere ai file sul computer.

Come detto, Facebook ha risolto la vulnerabilità nelle recenti versioni di WhatsApp Desktop. Il ricercatore sottolinea tuttavia che gli sviluppatori di app dovrebbero sempre attivare filtri che bloccano questi particolari messaggi e configurare correttamente le regole CSP (Content Security Policy) per prevenire attacchi XSS (Cross Site Scripting). Ovviamente deve essere sempre utilizzata l’ultima versione di Electron basata sull’ultima versione di Chromium.