WhatsApp corregge un bug che avrebbe potuto consentire agli hacker di leggere i tuoi file desktop
Il mese scorso WhatsApp ha corretto una lacuna di sicurezza nelle sue app desktop che avrebbe potenzialmente consentito agli hacker di accedere ai file locali del tuo computer. Scoperta da un ricercatore di sicurezza informatica presso PerimeterX , la vulnerabilità ha interessato i client Windows e Mac del servizio di messaggistica quando erano associati a un iPhone.
Il difetto è stato riscontrato nella politica di sicurezza dei contenuti di WhatsApp, un livello di sicurezza aggiuntivo che le aziende spesso impiegano per prevenire un certo set di attacchi e ha reso possibile agli attori malintenzionati di manipolare messaggi e collegamenti attraverso un metodo chiamato Cross-Site Scripting.
Quando un utente toccava uno di questi testi adulterati, concedeva inconsapevolmente alle autorizzazioni dell'attaccante di leggere i file locali del proprio computer, nonché di iniettare codici dannosi. Sebbene la vulnerabilità richiedesse l'interazione dell'utente per funzionare, è stato possibile eseguirla in remoto.
“Una vulnerabilità in WhatsApp Desktop se abbinata a WhatsApp per iPhone consente lo scripting tra siti e la lettura di file locali. Lo sfruttamento della vulnerabilità richiede alla vittima di fare clic su un'anteprima del collegamento da un messaggio di testo appositamente predisposto ", ha scritto la società madre Facebook in un avviso di sicurezza .
Il bug riguarda le build di WhatsApp Desktop precedenti alla v0.3.9309 e le versioni di WhatsApp per iPhone precedenti alla 2.20.10. È stato risolto il 21 gennaio 2020. Pertanto, per essere sicuro, vai avanti e aggiorna l'app WhatsApp sul tuo computer e iPhone.
"Le versioni precedenti del framework Chromium di Google Chrome, utilizzate dalle versioni vulnerabili dell'applicazione desktop WhatsApp, sono suscettibili a queste iniezioni di codice, sebbene le versioni più recenti di Google Chrome abbiano protezioni contro tali modifiche JavaScript. Altri browser come Safari sono ancora aperti a queste vulnerabilità ", ha spiegato Ido Safruti, fondatore e CTO di PerimeterX.
La vulnerabilità stranamente non influisce sui proprietari di telefoni Android. Abbiamo contattato PerimeterX per capire perché si tratta di un problema esclusivo di iOS e aggiorneremo la storia non appena avremo notizie.
Nell'ultimo anno, WhatsApp ha avuto difficoltà a tenere fuori le vulnerabilità della sicurezza. A novembre, il gigante della messaggistica di proprietà di Facebook ha corretto un difetto che avrebbe potuto consentire agli hacker di assumere il controllo di un telefono con un solo file MP4 . Alcune settimane fa, è stato scoperto che lo stesso bug ha compromesso anche il telefono e i dati sensibili di Jeff Bezos di Amazon . L'amministratore delegato di Telegram in seguito, in un post di blog sconvolgente, ha accusato WhatsApp di aver deliberatamente piantato backdoor per le forze dell'ordine e di averle mascherate come bug quando catturati.