WhatsApp: le vulnerabilità che portano all'esecuzione di codice dannoso

Confermata la presenza di due vulnerabilità in WhatsApp: il consiglio è installare quanto prima la release più aggiornata dell'app di messaggistica.

Con un comunicato ufficiale gli sviluppatori di WhatsApp hanno confermato che tutte le versioni del client di messaggistica per Android e iOS soffrono di due vulnerabilità che possono essere sfruttate da aggressori remoti per eseguire codice dannoso sui dispositivi degli utenti.

La pagina WhatsApp Security Advisories conferma che affette da problema sono tutte le versioni dell’applicazione precedenti alla release 2.22.16.12.
Per verificare la versione di WhatsApp in uso basta toccare i tre puntini in alto a destra, selezionare Impostazioni, Aiuto e infine Info app.

La prima vulnerabilità critica (CVE-2022-36934) che ha una gravità pari a 9,8 punti su una scala di 10 consiste in un integer overflow, un problema che si innesca a seguito dell’introduzione all’interno di una variabile di tipo integer di un valore che è maggiore del massimo che la variabile può contenere. I dati in eccedenza vanno a sovrascrivere altre variabili utilizzate dall’applicazione o il suo stesso stack. La conseguenza, nel caso della vulnerabilità che interessa WhatsApp, è l’esecuzione di codice arbitrario nel momento in cui venisse stabilita una videochiamata con un utente malintenzionato.

La seconda vulnerabilità (CVE-2022-27492) consente agli aggressori di eseguire codice da remoto con l’invio di un file video dannoso. I file multimediali sono da anni uno dei mezzi più utilizzati per diffondere malware e il fatto che sia possibile bersagliare gli utenti dello strumento di messaggistica più popolare in assoluto (WhatsApp conta 2 miliardi di utenti a livello mondiale) rappresenta per gli aggressori una leva davvero efficace.
Da qui l’importanza di aggiornare WhatsApp tempestivamente e di installare le nuove versioni via via che vengono rese disponibili, sia su Android che su iOS.

Purtroppo WhatsApp non è un prodotto open source: non solo gli sviluppatori non hanno mai condiviso il codice sorgente dell’applicazione ma addirittura hanno ritenuto opportuno offuscare alcune parti del funzionamento in modo da rendere più difficoltose le attività di reverse engineering. Si tratta di un comportamento che la “concorrenza” e in particolare Pavel Durov, CEO di Telegram, ha da sempre stigmatizzato sostenendo che WhatsApp non sarà mai sicuro.
Anche se il backend lato server resta “segreto”, Telegram permette di compilare il client dal codice sorgente in modo da verificare anche la corrispondenza di quanto pubblicato sugli store (Google Play Store, Apple App Store,…) con quello che viene condiviso dalla società su GitHub.

Ti consigliamo anche

Link copiato negli appunti