La società di sicurezza israeliana Check Point ha scoperto una vulnerabilità critica su WhatsApp Web che potrebbe aver messo a rischio i 200 milioni di utenti del servizio. Sfruttando una falla presente nel sistema di invio delle vCard, l’aggressore può facilmente eseguire codice arbitrario da remoto e acquisire potenzialmente il pieno contollo del sistema target. La vulnerabilità è stata già corretta, tuttavia il servizio è stato esposto sin dal suo debutto ad eventuali hack da remoto.
WhatsApp Web viene eseguito da browser web e poteva essere violato semplicemente attraverso l’invio di una vCard opportunatamente manipolata per contenere codice malevolo. Se la vCard fosse stata aperta sulla web-app l’aggressore avrebbe potuto eseguire il codice contenuto sul sistema in uso dalla vittima. WhatsApp Web poteva essere sfruttato per veicolare parecchie tipologie di malware, ad esempio ransomware, bot ed anche strumenti d’accesso remoto (RAT).
Effettuare l’aggressione era semplicissimo: “Per sfruttare l’exploit, tutto ciò di cui necessitava l’aggressore è un numero telefonico associato all’account”, spiega Check Point. WhatsApp permette di inviare e ricevere parecchi tipi di file: foto, video, messaggi vocali ed anche condividere la posizione e le schede di contatto. A differenza degli allegati delle e-mail, a cui ci approcciamo con fare più guardingo, l’utente WhatsApp apre solitamente i file condivisi “senza pensarci due volte”, sostiene la società.
La vulnerabilità è provocata da un filtraggio inadeguato delle schede contatto inviate con il celebre formato vCard. L’aggressore può iniettare un comando negli attributi del file vCard separato dal carattere “&”. Quando la vCard viene aperta, Windows cerca di eseguire tutte le righe di codice presenti, fra cui quella iniettata. Cliccando sulla scheda contatto manipolata il sistema scarica un file sul PC che viene eseguito automaticamente sul computer, spiega CheckPoint, specificando che il file poteva essere anche un eseguibile.
WhatsApp, infatti, non provvedeva a verificare il formato della vCard o i contenuti del file, consentendo ad eventuali aggressori di sfruttare l’ingenua vulnerabilità per inviare anche file .exe. La compagnia israeliana ha comunicato l’esistenza della falla lo scorso 27 agosto, e la società di Jan Koum ha risposto in maniera pronta all’avvertimento: “WhatsApp ha verificato e confermato il problema di sicurezza e ha sviluppato un fix per i client web in tutto il mondo”, scrive Check Point.
La compagnia di Koum ha incluso il fix sulla versione WhatsApp Web v0.1.44781, ed è pertanto consigliabile usare questa release o quelle che verranno rilasciate in futuro per scongiurare eventuali manomissioni nel proprio sistema.