Grave falla su WhatsApp Web, milioni di utenti a rischio hack

Grave falla su WhatsApp Web, milioni di utenti a rischio hack

Per mesi WhatsApp Web è stato esposto ad una gravissima vulnerabilità di sicurezza che ha dato la possibilità ad utenti malintenzionati di prendere il pieno controllo di un sistema da remoto

di Nino Grasso pubblicata il , alle 10:00 nel canale Sicurezza
WhatsApp
 

La società di sicurezza israeliana Check Point ha scoperto una vulnerabilità critica su WhatsApp Web che potrebbe aver messo a rischio i 200 milioni di utenti del servizio. Sfruttando una falla presente nel sistema di invio delle vCard, l'aggressore può facilmente eseguire codice arbitrario da remoto e acquisire potenzialmente il pieno contollo del sistema target. La vulnerabilità è stata già corretta, tuttavia il servizio è stato esposto sin dal suo debutto ad eventuali hack da remoto.

WhatsApp Web

WhatsApp Web viene eseguito da browser web e poteva essere violato semplicemente attraverso l'invio di una vCard opportunatamente manipolata per contenere codice malevolo. Se la vCard fosse stata aperta sulla web-app l'aggressore avrebbe potuto eseguire il codice contenuto sul sistema in uso dalla vittima. WhatsApp Web poteva essere sfruttato per veicolare parecchie tipologie di malware, ad esempio ransomware, bot ed anche strumenti d'accesso remoto (RAT).

Effettuare l'aggressione era semplicissimo: "Per sfruttare l'exploit, tutto ciò di cui necessitava l'aggressore è un numero telefonico associato all'account", spiega Check Point. WhatsApp permette di inviare e ricevere parecchi tipi di file: foto, video, messaggi vocali ed anche condividere la posizione e le schede di contatto. A differenza degli allegati delle e-mail, a cui ci approcciamo con fare più guardingo, l'utente WhatsApp apre solitamente i file condivisi "senza pensarci due volte", sostiene la società.

La vulnerabilità è provocata da un filtraggio inadeguato delle schede contatto inviate con il celebre formato vCard. L'aggressore può iniettare un comando negli attributi del file vCard separato dal carattere "&". Quando la vCard viene aperta, Windows cerca di eseguire tutte le righe di codice presenti, fra cui quella iniettata. Cliccando sulla scheda contatto manipolata il sistema scarica un file sul PC che viene eseguito automaticamente sul computer, spiega CheckPoint, specificando che il file poteva essere anche un eseguibile.

WhatsApp, infatti, non provvedeva a verificare il formato della vCard o i contenuti del file, consentendo ad eventuali aggressori di sfruttare l'ingenua vulnerabilità per inviare anche file .exe. La compagnia israeliana ha comunicato l'esistenza della falla lo scorso 27 agosto, e la società di Jan Koum ha risposto in maniera pronta all'avvertimento: "WhatsApp ha verificato e confermato il problema di sicurezza e ha sviluppato un fix per i client web in tutto il mondo", scrive Check Point.

La compagnia di Koum ha incluso il fix sulla versione WhatsApp Web v0.1.44781, ed è pertanto consigliabile usare questa release o quelle che verranno rilasciate in futuro per scongiurare eventuali manomissioni nel proprio sistema.

28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
FirePrince09 Settembre 2015, 10:10 #1

LOL

Un software pessimo, da tutti i punti di vista. Nessuno dovrebbe usarlo, io me ne sono liberato da oltre un anno e ne sono felicissimo
Balthasar8509 Settembre 2015, 10:16 #2
Ieri mi è successa una cosa strana, mi sono connesso a WhatsappWeb senza che lo smartphone fosse connesso alla Wifi del PC. Ma da quando è possibile fare questa cosa?

Originariamente inviato da: FirePrince
Meglio telegram, meglio telegram, meglio telegram, meglio telegram, meglio telegram, meglio telegram, meglio telegram e meglio telegram!

Fixd!


CIAWA
Dominioincontrastato09 Settembre 2015, 10:24 #3
Originariamente inviato da: FirePrince
Un software pessimo, da tutti i punti di vista. Nessuno dovrebbe usarlo, io me ne sono liberato da oltre un anno e ne sono felicissimo


Contento tu, è anche strausato in ambito lavorativo

Originariamente inviato da: Balthasar85
Ieri mi è successa una cosa strana, mi sono connesso a WhatsappWeb senza che lo smartphone fosse connesso alla Wifi del PC. Ma da quando è possibile fare questa cosa?


Fixd!


CIAWA


forse lo smartphone era connesso in 3g/4g?
latilou8509 Settembre 2015, 10:31 #4
Originariamente inviato da: Balthasar85
Ieri mi è successa una cosa strana, mi sono connesso a WhatsappWeb senza che lo smartphone fosse connesso alla Wifi del PC. Ma da quando è possibile fare questa cosa?


Fixd!


CIAWA


è "consigliabile" usare il wifi, non obbligatorio.
Balthasar8509 Settembre 2015, 10:37 #5
Originariamente inviato da: Dominioincontrastato
[..]
forse lo smartphone era connesso in 3g/4g?

Si, era connesso alla 3G
Originariamente inviato da: latilou85
è "consigliabile" usare il wifi, non obbligatorio.

Ah.. ero convinto che la WiFi servisse anche a dare l'accesso a Whatsapp, della serie "se il computer e lo smartphone sono connessi sulla stessa rete allora puoi usare WhatsappWeb, se ad esempio sei fuori casa lontano da quella WiFi allora non è possibile."

E vabbé, grazie per la delucidazione.

CIAWA
Krusty9309 Settembre 2015, 10:57 #6
Originariamente inviato da: Balthasar85
Si, era connesso alla 3G

Ah.. ero convinto che la WiFi servisse anche a dare l'accesso a Whatsapp, della serie "se il computer e lo smartphone sono connessi sulla stessa rete allora puoi usare WhatsappWeb, se ad esempio sei fuori casa lontano da quella WiFi allora non è possibile."

E vabbé, grazie per la delucidazione.

CIAWA


Se non sbaglio inizialmente era cosi, poi hanno cambiato
the_poet09 Settembre 2015, 11:51 #7
Telegram FTW
futu|2e09 Settembre 2015, 12:05 #8
Si tutto bello telegram ma tanto non se lo incula nessuno.
the_poet09 Settembre 2015, 12:10 #9
Originariamente inviato da: futu|2e
Si tutto bello telegram ma tanto non se lo incula nessuno.


Beh, nel periodo d'oro di Badoo e MySpace, dicevano la stessa cosa di Facebook.
piererentolo09 Settembre 2015, 12:28 #10
Originariamente inviato da: Krusty93
Se non sbaglio inizialmente era cosi, poi hanno cambiato

Sbagli sono sicuro perchè lo utilizzavo in un ufficio in cui non c'è la WIFI

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^