Vulnerabilità in WhatsApp: un video MP4 può portare all'esecuzione di codice pericoloso

Facebook ha confermato l’esistenza di una grave vulnerabilità di sicurezza WhatsApp: Aggressori remoti possono eseguire codice arbitrario sui dispositivi mobili degli utenti semplicemente inviando un file video MP4 creato ad arte.

Il problema è stato confermato in questo documento di supporto che invita gli utenti di WhatsApp ad aggiornare alla più recente versione del client di messaggistica.
Nello specifico, su Android tutte le release antecedenti alla 2.19.274 risultano vulnerabili così come su iOS quelle precedenti alla versione 2.19.100.
Per controllare la versione di WhatsApp in uso, basta accedere al menu principale dell’app (icona in alto a destra) quindi scegliere la voce Impostazioni e infine Aiuto.

Al momento non sono state registrate segnalazioni di attacchi che sfruttano la vulnerabilità appena risolta ma è bene non temporeggiare con l’installazione degli aggiornamenti.

A fine ottobre Facebook e WhatsApp confermarono di aver avviato una vertenza legale contro l’israeliana NSO Group: WhatsApp intenta un’azione legale contro NSO Group: spyware sui dispositivi degli utenti.
Secondo l’accusa, dopo le verifiche svolte internamente, NSO avrebbe utilizzato lo strumento software battezzato Pegasus per aggredire alcuni utenti di WhatsApp e installare a distanza, sui loro dispositivi, un’applicazione per il monitoraggio delle loro attività e la sottrazione di dati personali.

In quel caso l’applicazione fu aggiornata dopo la scoperta della campagna posta in essere da NSO quando, purtroppo, “i buoi erano ormai scappati”.

Non è quindi la prima volta che bug di tipo buffer overflow vengono sfruttati come grimaldello per eseguire codice sui dispositivi degli utenti usando proprio WhatsApp quale “ponte”.

In primavera l’ideatore dell’app rivale Telegram, Pavel Durov, aveva sparato a zero affermando – tra le altre cose – che incidenti come questi si verificano perché WhatsApp non è un’applicazione opensource ed anzi gli sviluppatori offuscano il codice per renderne più difficoltosa l’analisi: WhatsApp non potrà mai essere un’app sicura: parola dell’ideatore di Telegram. Un approccio che, sempre secondo Durov, non faciliterebbe un significato balzo in avanti sul piano della sicurezza.