WhatsApp, grave bug di sicurezza nelle videochiamate corretto con l'ultima patch

WhatsApp, grave bug di sicurezza nelle videochiamate corretto con l'ultima patch

Le videochiamate di WhatsApp potevano essere sfruttate per ottenere il pieno controllo del client dell'interlocutore. La vulnerabilità è stata però corretta nelle corse settimane

di pubblicata il , alle 18:41 nel canale Telefonia
WhatsAppiOSAndroid
 

Il team di sviluppo di WhatsApp ha sistemato un bug nelle versioni iOS e Android di WhatsApp che consentiva di prendere il controllo dell'app quando l'interlocutore avrebbe risposto ad una videochiamata progettata ad-hoc con pacchetti malevoli. A scoprire il tutto è stata Natalie Silvanovich, ricercatrice di sicurezza di Project Zero, il laboratorio di Google costantemente al lavoro sulla ricerca di possibili falle di sicurezza sui software e servizi proprietari e di terze parti.

La falla su WhatsApp è stata scoperta verso la fine del mese di agosto, ed è stata descritta come un "bug di corruzione della memoria all'interno dell'implementazione non-WebRTC delle videoconferenze di WhatsApp". Questo tipo di corruzione può avvenire quando l'app mobile di WhatsApp per iOS e Android riceve un pacchetto RTP difettoso, con il problema che può manifestarsi quando viene accettata una videochiamata proveniente da una fonte malevola.

Il celebre ricercatore di sicurezza Tavis Ormandy ha commentato su Twitter: "Questo è davvero grave. Semplicemente rispondendo ad una chiamata da un aggressore si potrebbe compromettere WhatsApp completamente". Ad essere affetti al problema sono tutti i client che utilizzano il protocollo RTP per le videochiamate, quindi quelli per iOS e Android, mentre WhatsApp Web non è coinvolto nella problematica visto che utlizza il protocollo WebRTC.

Per comprovare l'esistenza della vulnerabilità Silvanovich ha pubblicato un codice cosiddetto "proof-of-concept" completo di istruzioni per riprodurre l'attacco. Al momento in cui scriviamo, però, non è più riproducibile sui client aggiornati visto che WhatsApp ha sistemato il problema in un aggiornamento rilasciato il 28 settembre per il client Android, e il 3 ottobre per il client iOS. Se non avete ancora aggiornato le app da allora, quindi, fatelo.

Anche WhatsApp ha commentato: "WhatsApp si prende cura in maniera profonda della sicurezza dei propri utenti. Ci confrontiamo continuamente con i ricercatori di sicurezza di tutto il mondo per assicurarci che l'app rimanga sicura e affidabile. Abbiamo rilasciato in maniera pronta un fix sulle ultime versioni di WhatsApp per risolvere la problematica". Secondo la compagnia, inoltre, non ci sono prove che il bug sia stato sfruttato in attacchi reali contro gli utenti del servizio.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^