Falla in WhatsApp: così un messaggio distrugge l’app e cancella la cronologia

sicurezza informatica

C’è una falla in WhatsApp, l’app di messaggistica di proprietà di Facebook e utilizzata da oltre 1,5 miliardi di persone in tutto il mondo.

di Biagio Simonetta

immagine di caricamento predefinita

C’è una falla in WhatsApp, l’app di messaggistica di proprietà di Facebook e utilizzata da oltre 1,5 miliardi di persone in tutto il mondo.

3 ‘di lettura

C’è una falla in WhatsApp, l’app di messaggistica di proprietà di Facebook e utilizzata da oltre 1,5 miliardi di persone in tutto il mondo. Una vulnerabilità, relativa ai gruppi, che consentirebbe un singolo malintenzionato di recapitare un messaggio distruttivo che produce un rapido e completo crash dell’intera app per tutti gli appartenenti al gruppo stesso. A scoprirlo sono stati gli israeliani di Check Point, che hanno avvertito l’azienda di Palo Alto, che a sua volta ha già rilasciato un upgrade in grado di mettere a posto le cose.
In sostanza, il crash dell’app riscontrato da Check Point è così grave che gli utenti sarebbero costretti a disinstallare e reinstallare WhatsApp, al fine di poterla riutilizzare. Inoltre, l’utente “attaccato” non sarebbe più in grado di rientrare nella chat di gruppo, il che porterebbe alla perdita di tutta la cronologia. La chat di gruppo, infatti, dopo il crash non è più in grado di essere ripristinata, e deve addirittura essere eliminata per completare il crash continuo.
Ed è proprio il crash continuo, secondo Check Point, l’obiettivo di chi compie un attacco del genere. L’ordine delle operazioni dell’hacker è il seguente: «Innanzitutto, l’accesso al gruppo WhatsApp che sarà l’obiettivo dell’attacco e si finge un membro della chat (WhatsApp consente fino a 256 utenti per gruppo); Modifica alcuni parametri specifici del messaggio e invia al gruppo messaggi malevoli modificati, sfruttando WhatsApp Web e uno strumento di debug del browser Web; Infine, mette in atto un crash continuo e inarrestabile un danno di tutti i membri della chat del gruppo, negando agli utenti l’accesso a tutte le funzionalità di WhatsApp ».
Queste informazioni si basano su una precedente ricerca di Check Point pubblicata all’inizio del 2019, in cui i ricercatori avevano dimostrato come un aggressore potesse intercettare e modificare i messaggi di WhatsApp un proprio vantaggio. In questa particolare ricerca, tuttavia, i ricercatori israeliani hanno scoperto un ulteriore difetto esaminando le comunicazioni tra WhatsApp e WhatsApp Web, la versione web dell’app. In genere, quando un utente invia un messaggio alla chat di gruppo, l’app esamina il “parametro partecipante”, che contiene il numero del telefono dell’utente, per identificare chi ha inviato il messaggio. I ricercatori Check Point sono stati in grado di avere visibilità sul “parametro partecipante” usato nelle comunicazioni WhatsApp e di manipolarlo. Check Point Research ha rivelato in modo responsabile i risultati della propria indagine al programma di bounty bug WhatsApp, lo scorso 28 agosto 2019. WhatsApp ha riconosciuto i risultati e ha sviluppato una soluzione per il problema, disponibile nella versione 2.19.58 dell’applicazione . WhatsApp ha distribuito la versione a metà settembre e ha aggiunto nuovi controlli per impedire le persone che vengono aggiunte a gruppi indesiderati, al fine di evitare completamente la comunicazione con utenti non presenti.
È bene che tutti gli utenti di WhatsApp aggiornino l’app immediatamente, insomma. L’appello arriva anche da Oded Vanunu, Head of Product Vulnerability Research di Check Point: «Poiché WhatsApp è uno dei canali di comunicazione leader a livello mondiale per consumatori, aziende e agenzie governative, la possibilità di impedire alle persone di utilizzarlo e di eliminazione informazioni preziose dalle chat di gruppo è un’arma potente nelle mani degli hacker. Tutti gli utenti WhatsApp devono aggiornare l’app all’ultima versione per proteggersi da questo possibile attacco »

Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo