WhatsApp e la sua versione Web per PC Windows e macOS presentavano una falla potenzialmente molto rischiosa: attraverso l'iniezione di codice JavaScript all'interno dei messaggi, un malintenzionato avrebbe potuto accedere in remoto ai file presenti nel computer della vittima.

La scoperta della vulnerabilità è stata fatta da Gal Weizman, un ricercatore di PerimeterX, il quale aveva individuato la falla già nel 2017. Inizialmente era stato segnalato come questa vulnerabilità potesse essere utilizzata per modificare i metadati dei messaggi, portando quindi a mascherare l'url di siti potenzialmente pericolosi che potevano essere sfruttati per portare un attacco alla privacy della vittima. Successivamente è emerso che tale vulnerabilità poteva essere sfruttata anche per ottenere accesso remoto ai dati presenti sul computer della vittima, utilizzando l'API JavaScript Fetch.

Secondo quanto riferito, la causa di questa falla va ricercata nell'utilizzo di una vecchia versione del motore di rendering Chromium (si parla addirittura della versione 69, uscita a fine 2018) che viene impiegato per il funzionamento di WhatsApp Web. Ars Technica ha commentato la vicenda indicando come responsabile il framework Electron. Questo viene utilizzato da molte aziende, tra cui quelle del gruppo Facebook, per realizzare applicazioni multipiattaforma che si basano su web app. Il problema riguarda quindi il kit di sviluppo realizzato da Electron, che sfrutta componenti web molto vecchie.

Facebook ha comunque rilasciato un aggiornamento per la versione web di WhatsApp e per quella iOS (chissà se questo fix non sarebbe servito a Bezos nel furto di dati che lo ha direttamente coinvolto nell'intrigo internazionale con l'Arabia Saudita) Secondo quanto riportato, la falla è presente su WhatsApp Web 0.3.9309 e precedenti se abbinate a WhatsApp per iOS 2.20.10 e precedenti. Vi invitiamo quindi a verificare di non utilizzare versioni non aggiornate delle due applicazioni.