Il bug di WhatsApp avrebbe potuto consentire agli hacker di accedere ai file sul tuo PC

È stato scoperto un problema di sicurezza critico nel client desktop WhatsApp che potrebbe consentire agli hacker di accedere in remoto ai file sul desktop su un computer Windows o Mac se accoppiato con un iPhone. Tuttavia, la società madre del servizio di messaggistica, Facebook, ha risolto la vulnerabilità.

Scoperta dal ricercatore di sicurezza informatica PerimeterX Gal Weizman, la vulnerabilità denominata ‘CVE-2019-18426’ risiedeva in WhatsApp Web, che alimenta anche le sue applicazioni multipiattaforma basate su Electron per sistemi operativi desktop.

Secondo Weizman, la falla potrebbe consentire agli hacker di inserire codice JavaScript dannoso nei messaggi e di accedere da remoto ai file tramite il client WhatsApp obsoleto.

“Una vulnerabilità nelle versioni di WhatsApp Desktop precedenti alla 0.3.9309, se combinata con le versioni di WhatsApp per iPhone precedenti alla 2.20.10, consente la lettura di file locali e lo scripting cross-site. Lo sfruttamento della vulnerabilità richiede alla vittima di fare clic su un collegamento di anteprima in un messaggio di testo appositamente predisposto. ” leggere la descrizione della vulnerabilità di WhatsApp fornita nei National Vulnerability Data (NVD) degli Stati Uniti.

Nel suo post sul blog, Weizman ha affermato che WhatsApp Web era vulnerabile a un difetto di reindirizzamento aperto che avrebbe potuto portare a persistenti attacchi di cross-site scripting attivati ​​dall’invio di messaggi appositamente predisposti a specifici utenti WhatsApp.

Weizman ha scoperto una scappatoia nella Content Security Policy (CSP) di WhatsApp, che in pratica consentiva il cross-site scripting (XSS) nell’applicazione desktop. È stato in grado di leggere il file system locale di un destinatario inviando un singolo messaggio e identificare il potenziale per l’esecuzione di codice remoto (RCE) nell’applicazione desktop.

Tutto ciò che l’utente WhatsApp interessato doveva fare era visualizzare il messaggio dannoso nel browser. Ciò avrebbe fornito agli aggressori remoti l’accesso backdoor per eseguire codice arbitrario nel contesto del dominio web di WhatsApp.

leggere  5 modi per dominare Internet rimanendo anonimi

“Per qualche ragione, le regole CSP non erano un problema con l’applicazione basata su Electron, quindi ottenere un payload esterno utilizzando una semplice funzione JavaScript ha funzionato”, ha detto Weizman.

“Le regole del CSP sono molto importanti e avrebbero potuto prevenire gran parte di questo pasticcio. Se le regole CSP fossero state ben configurate, la potenza ottenuta da questo XSS sarebbe stata molto inferiore. Essere in grado di aggirare le impostazioni CSP consente a un utente malintenzionato di sottrarre informazioni preziose alla vittima, caricare facilmente i payload esterni e molto altro ancora “.

Secondo Weizman, WhatsApp non dovrebbe utilizzare una versione precedente della piattaforma del browser Chromium di Google per evitare tali difetti.

“Le versioni precedenti del framework Google Chrome Chromium, utilizzate dalle versioni vulnerabili dell’applicazione desktop WhatsApp, sono suscettibili a queste iniezioni di codice, sebbene le versioni più recenti di Google Chrome abbiano protezioni contro tali modifiche JavaScript. Altri browser come Safari sono ancora aperti a queste vulnerabilità “, osserva PerimeterX.

La vulnerabilità è stata corretta da Facebook lo scorso anno dopo aver ricevuto un avviso da Weizman.

Parlando della vulnerabilità, un portavoce di WhatsApp ha dichiarato: “Lavoriamo regolarmente con i principali ricercatori di sicurezza per anticipare potenziali minacce per i nostri utenti. In questo caso, abbiamo risolto un problema che in teoria avrebbe potuto interessare gli utenti di iPhone che facevano clic su un collegamento dannoso mentre utilizzavano WhatsApp sul desktop. Il bug è stato risolto rapidamente ed è in vigore da metà dicembre “.

Poiché la società ha risolto il difetto, si consiglia agli utenti di aggiornare sia l’app desktop WhatsApp che l’app del telefono sul proprio dispositivo Android o iOS per evitare problemi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *