È stato scoperto un bug nella versione web di WhatsApp che, se sfruttato, permetteva l’accesso a tutti i file presenti su pc e Mac. La falla è stata prontamente chiusa da un aggiornamento
È stato scoperto un bug decisamente importante nella versione web di WhatsApp che riguardava l’applicazione desktop associata a un iPhone e che, se sfruttato, permetteva l’accesso a tutti i file presenti su pc e Mac.
La falla è stata segnalata dal ricercatore Gal Weizman, in un rapporto molto dettagliato ed è stata prontamente chiusa dagli sviluppatori di Facebook.
“Utilizzando WhatsApp Web, posso trovare la riga di codice in cui l’oggetto contenente i metadati del messaggio si sta formando, manometterlo e quindi lasciare che l’app continui il suo naturale flusso di invio dei messaggi, creando così un mio messaggio mentre (l’app. ndr) ignora il meccanismo di filtraggio dell’interfaccia utente.“
É stato questo pensiero di partenza che ha spinto il ricercatore ad approfondire il funzionamento di WhatsApp Web e ad isolare le diverse criticità legate a questo flusso.
In particolare ha isolato la riga di codice contenente i dati di un messaggio citato ed è riuscito a modificare il testo del messaggio originale (che di fatto non esisteva nella conversazione).
Non essendo soddisfatto però ha provato a modificare altre parti delle conversazioni, che potevano essere potenzialmente molto più pericolose.
In particolare si è concentrato sui banner di anteprima che vengono inviati quando si manda un link a un sito.
Dato che il banner viene generato a lato dell’utente si può facilmente manomettere la sua proprietà prima che questo arrivi al ricevente, così da cambiare il link inviato ma mantenendo il banner originale.
Ovviamente questa modifica potrebbe portare gli utenti a cliccare sul banner senza prestare attenzione all’indirizzo specifico che gli è associato e, utilizzando una funzione del ruolo “@” nelle specifiche dell’url, è possibile passare, ad esempio, nome utente e password ai domini visitati.
L’unico broswer che ha segnalato agli utenti anomalie di invio è stato Firefox.
C’è comunque da sottolineare che la versione di WhatsApp su cui il ricercatore ha trovato il bug era la 0.3.9309, sviluppata su Chrome v.69 (la versione attuale è la 79) e, dopo questa segnalazione, gli sviluppatori di Facebook si sono adoperati per risolvere tempestivamente la vulnerabilità.