Check Point ha comunicato di aver scoperto e segnalato a WhatsApp una pericolosa vulnerabilità insita nel client web della popolare applicazione di messaggistica istantanea. Fortunatamente la lacuna di sicurezza è stata tempestivamente eliminata dagli sviluppatori di WhatsApp così da evitare di porre potenzialmente a rischio gli oltre 900 milioni di utenti attivi (valore aggiornato al mese scorso e rivelato dagli stessi portavoce di WhatsApp il mese scorso).
Il problema di sicurezza in WhatsApp Web (Come usare WhatsApp da PC con l’applicazione web) poteva essere sfruttato da parte di un aggressore semplicemente inviando un file che di norma contiene i dettagli di un contatto (file in formato vCard).
Tale file, modificato “ad arte” dall’aggressore, non veniva infatti correttamente gestito dall’applicazione web di WhatsApp e portava ad avviare, sul sistema in uso, il file eseguibile veicolato insieme con il file vCard malevolo.
Creando un finto contatto vCard ed inviandolo mediante WhatsApp, il malintenzionato avrebbe potuto facilmente persuadere il destinatario (di cui doveva conoscere solo il numero telefonico) ad eseguire il file nascosto al suo interno.
Per la gestione dei messaggi, WhatsApp Web utilizza una versione modificata del protocollo XMPP (Extensible Messaging and Presence Protocol) che, tuttavia, non prendeva correttamente in esame il contenuto e la struttura dei messaggi veicolati sul network consentendo di fatto l’inserimento di codice malevolo nel file vCard.
Nell’analisi tecnica pubblicata sul blog di Check Point a questo indirizzo, la società ha illustrato i dettagli tecnici dell’attacco.
La vulnerabilità è stata rapidamente risolta da WhatsApp con il rilascio della versione 0.1.4481 del client web.