WhatsApp: Scoperto e corretto un bug nella versione desktop che permetteva di accedere da remoto ai file del Pc.

In questi giorni Gal Weizman, un ricercatore di sicurezza di PerimeterX, ha fatto sapere di aver scoperto una grave vulnerabilità, (denominata CVE-2019-18426 e fortunatamente già risolta), nelle versioni desktop di WhatsApp che permetteva di vedere i file salvati sul computer utilizzando un particolare messaggio durante un cosiddetto attacco Cross-Site Scripting o XSS. In pratica si trattava di un bug presente nelle versioni per Pc precedenti alla 0.3.9309 della più famosa applicazione di messaggistica istantanea ed interessava soprattutto tutti quegli utenti che abbinavano il software con le versioni di WhatsApp per iOS precedenti alla 2.20.10: secondo quanto spiegato dal ricercatore, era sufficiente aprire un link inserito all'interno di un messaggio per accedere da remoto ai file conservati sul computer, installare malware ed eseguire altre operazioni illecite. Inoltre, sempre secondo Gal Weizman, la fonte della vulnerabilità in questione era la vecchia versione di Electron usata per WhatsApp Desktop: si tratta di un framework open source che permette di sviluppare, appunto, applicazioni desktop utilizzando tecnologie web; il che consente di impiegare lo stesso codice sorgente per le applicazioni desktop e web. Tuttavia, sebbene Electron è basato su Chromium e quindi viene aggiornato nello stesso momento, i responsabili dell'applicazione di messaggistica istantanea avevano utilizzato la versione basata su Chromium 69 che include il suddetto bug, il quale, come già anticipato, permetteva ad un malintenzionato di accedere da remoto ai file del Pc semplicemente nascondendo uno specifico codice JavaScript all'interno di un messaggio inviato poi su WhatsApp. Ad ogni modo, nonostante, come già detto, tale vulnerabilità è stata fortunatamente risolta nelle recenti più versioni dell'applicazione di messaggistica istantanea per desktop, lo stesso Gal Weizman ha sottolineato che per evitare problemi di questo tipo e prevenire attacchi XSS gli sviluppatori di applicazioni dovrebbero sempre attivare filtri che blocchino questi particolari messaggi e configurare correttamente le regole CSP, (acronimo di Content Security Policy); senza contare che ovviamente andrebbe utilizzata sempre l'ultima versione di Electron basata sull'ultima versione di Chromium. Comunque sia in seguito all'accaduto un portavoce di WhatsApp ha rilasciato un breve comunicato nel quale si può leggere: «Collaboriamo regolarmente con i principali ricercatori che si occupano di sicurezza informatica per individuare in anticipo potenziali minacce per i nostri utenti. In questo caso abbiamo risolto un problema che avrebbe teoricamente potuto avere un impatto sugli utenti di iPhone che hanno cliccato su un link dannoso mentre usavano WhatsApp da desktop. Il bug è stato prontamente risolto attraverso un aggiornamento implementato da metà Dicembre».