I ricercatori di sicurezza della Check Point Software Technologies spiegano che la falla consente a un singolo malintenzionato di recapitare, in una chat di gruppo, un messaggio che produce un rapido e completo crash dell’intera app per tutti i membri.
Il crash è così grave che gli utenti sarebbero costretti a disinstallarla e reinstallarla per poter nuovamente utilizzare WhatsApp. Inoltre, l’utente non sarebbe più in grado di rientrare nella chat di gruppo, il che porterebbe alla perdita di tutta la cronologia. Questo significa che la chat di gruppo non è in grado di essere ripristinata dopo il crash e dovrà essere eliminata per interrompere il crash continuo.
Un malintenzionato potrebbe sfruttare questa falla di WhatsApp per creare un crash continuo e distruttivo dell’app. Ecco un esempio di come potrebbe muoversi: ottiene l’accesso al gruppo WhatsApp che sarà obiettivo dell’attacco e si finge un membro della chat (WhatsApp consente fino a 256 utenti per gruppo), quindi modifica alcuni parametri specifici del messaggio e invia al gruppo messaggi malevoli modificati, sfruttando WhatsApp Web e uno strumento di debug del browser Web. Infine, mette in atto un crash continuo e inarrestabile a danno di tutti i membri della chat di gruppo, negando agli utenti l’accesso a tutte le funzionalità di WhatsApp.
In questa particolare ricerca, Check Point Research ha scoperto il difetto esaminando le comunicazioni tra WhatsApp e WhatsApp Web, la versione web dell’app. In genere, quando un utente invia un messaggio alla chat di gruppo, l’app esamina il “parametro partecipante”, che contiene il numero di telefono dell’utente, per identificare chi abbia inviato il messaggio. I ricercatori Check Point sono stati in grado di avere visibilità sul “parametro partecipante” usato nelle comunicazioni WhatsApp e di manipolarlo.
Check Point Research ha rivelato i risultati della propria indagine al programma di bounty bug WhatsApp, lo scorso 28 agosto 2019. WhatsApp ha riconosciuto i risultati e ha sviluppato una correzione per risolvere il problema, disponibile nella versione 2.19.58 dell’applicazione. WhatsApp ha distribuito la versione a metà settembre e ha aggiunto nuovi controlli per impedire che le persone vengano aggiunte a gruppi indesiderati, al fine di evitare completamente la comunicazione con utenti non attendibili.
Il consiglio è quindi quello di aggiornare immediatamente l’app all’ultima versione disponibile.
News