WhatsApp, grave falla di sicurezza presente sulla versione desktop: come proteggersi

Facebook ha diramato un avvertimento per una falla di sicurezza presente in WhatsApp Desktop che può consentire ad un attaccante di sfruttare la tecnica di cross-site scripting per accedere ai file presenti sui sistemi desktop/notebook Mac o Windows usando un messaggio appositamente costruito. L'attaccante potrebbe, in questo modo, riuscire a recuperare i contenuti dei file sul computer dell'utente che si trova all'altro capo del canale di comunicazione e a cui viene inviato il messaggio, e potenzialmente compiere altre azioni illecite.

La falla è stata scoperta dal ricercatore di sicurezza Gal Weizman di PerimeterX ed è il risultato di una vulnerabilità nel modo in cui è stata condotta l'implementazione di Whatsapp desktop sfruttando il framework Electron, che già in passato aveva mostrato esso stesso alcuni problemi di sicurezza. Electron è uno strumento che gli sviluppatori possono usare per realizzare facilmente applicazioni cross-platform basate su tecnologie Web e browser, ma è ovviamente tanto sicuro quanto lo sono i componenti che gli sviluppatori allestiscono all'interno delle app che stanno realizzando con questo framework.

Weizman ha individuato la prima volta le vulnerabilità cross-site scripting di WhatsApp nel 2017, quando ha scoperto la possibilità di manomettere i metatadi dei messaggi, fabbricare banner di anteprima fasulli a partire da link a pagine web e creare URL capaci di offuscare un'intenzione ostile all'interno dei messaggi WhatsApp. Il ricercatore ha proseguito le sue attività di indagine nel client Whatsapp scoprendo di poter iniettare codice JavaScript all'interno dei messaggi, codice che sarebbe poi stato eseguito all'interno di WhatsApp Desktop per ottenere in questo modo l'accesso al filesystem locale usando l'API JavaScript Fetch.

Tutto ciò è stato possibile perché le versioni vulnerabili di WhatsApp Desktop sono state sviluppate usando una vecchia versione, nota per alcune vulnerabilità, del browser engine Chrome di Google. Le versioni più recenti di Chromium individuano e neutralizzano il codice dannoso.

La vulnerabilità interessa le versioni di WhatsApp Desktop dalla 0.3.9309 e precedenti, abbinate con l'app per iPhone dalla versione 2.20.10 e precedenti.. Facebook ha rilasciato nuove versioni di WhatsApp desktop che usano il componente browser aggironato.

"Collaboriamo regolarmente con i principali ricercatori che si occupano di sicurezza informatica per individuare in anticipo potenziali minacce per i nostri utenti. In questo caso, abbiamo risolto un problema che avrebbe teoricamente potuto avere un impatto sugli utenti di iPhone che hanno cliccato su un link dannoso mentre usavano WhatsApp da desktop. Il bug è stato prontamente risolto attraverso un aggiornamento implementato da metà dicembre" è la posizione ufficiale espressa da WhatsApp tramite un portavoce."