WhatsApp Web: una falla permetteva di trafugare i file sul PC della vittima

06 Febbraio 2020 19

WhatsApp e la sua versione Web per PC Windows e macOS presentavano una falla potenzialmente molto rischiosa: attraverso l'iniezione di codice JavaScript all'interno dei messaggi, un malintenzionato avrebbe potuto accedere in remoto ai file presenti nel computer della vittima.

La scoperta della vulnerabilità è stata fatta da Gal Weizman, un ricercatore di PerimeterX, il quale aveva individuato la falla già nel 2017. Inizialmente era stato segnalato come questa vulnerabilità potesse essere utilizzata per modificare i metadati dei messaggi, portando quindi a mascherare l'url di siti potenzialmente pericolosi che potevano essere sfruttati per portare un attacco alla privacy della vittima. Successivamente è emerso che tale vulnerabilità poteva essere sfruttata anche per ottenere accesso remoto ai dati presenti sul computer della vittima, utilizzando l'API JavaScript Fetch.

Un esempio di attacco che permette di leggere il contenuto di un file nel computer della vittima

Secondo quanto riferito, la causa di questa falla va ricercata nell'utilizzo di una vecchia versione del motore di rendering Chromium (si parla addirittura della versione 69, uscita a fine 2018) che viene impiegato per il funzionamento di WhatsApp Web. Ars Technica ha commentato la vicenda indicando come responsabile il framework Electron. Questo viene utilizzato da molte aziende, tra cui quelle del gruppo Facebook, per realizzare applicazioni multipiattaforma che si basano su web app. Il problema riguarda quindi il kit di sviluppo realizzato da Electron, che sfrutta componenti web molto vecchie.

Facebook ha comunque rilasciato un aggiornamento per la versione web di WhatsApp e per quella iOS (chissà se questo fix non sarebbe servito a Bezos nel furto di dati che lo ha direttamente coinvolto nell'intrigo internazionale con l'Arabia Saudita) Secondo quanto riportato, la falla è presente su WhatsApp Web 0.3.9309 e precedenti se abbinate a WhatsApp per iOS 2.20.10 e precedenti. Vi invitiamo quindi a verificare di non utilizzare versioni non aggiornate delle due applicazioni.


19

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Orlaf
Jugin M Erda

beh questo però non c'è su telegram!!

Overwiew_marcia

Trovata la spunta grazie! Speravo ci fosse ma cercavo nella parte sbagliata!

Tiwi

haha ridicoli

yepp

Altra prova che le app native come le UWP sono anni luce avanti a questi framework web che creano solo mostri di app incontrollabili perché dipendono troppo da ciò che c'è sotto (il browser)

Francesco

Impostazioni => account => privacy

Overwiew_marcia

No, mi puoi illuminare?

QuelMattacchioneDiJohnMalkovic

ma quindi era bucata solo la versione per iOS??

Bestmark 3.0

Quando é in offerta, a quel prezzo o poco più si trova il note 8t

Haeve

Smart Battery Case per l’11 Pro Max.

dannyD

è un po' lo stesso concetto di windows con i virus, non è che sia fatto peggio o con più falle... Semplicemente essendo il più usato è quello su cui sperimentano di più...

Francesco

Ma avete visto che si può mettere il blocco con l'impronta?

Lino Torvaldi

magari fosse solo uno

baolo

HD-bug

GTX88

Non funziona manco standalone sto schifo e ha pure questi problemi...

Briccone

[OT] Mi sapete consigliare da 6 pollici almeno, minimo 64gb di spazio molto economico? Diciamo sui 150 euro. Pensavo al Redmi 8. Alternative? Grazie

Aster

Tutti con firefox

momentarybliss

Suggerirei una nuova rubrica in tema social network, "La falla quotidiana"

asd555

E va be', WhatsApp è un buco, si sa.

Recensione iPhone 11 Pro Smart Battery Case: è il migliore, ma che prezzo!

Apple annuncia il nuovo MacBook Pro 16 | Video

Recensione PowerBeats Pro: gli Apple AirPods per gli sportivi

Recensione iPad 10.2 (2019), iPadOS fa la differenza