Una vulnerabilità talmente critica da consentire agli hacker di accedere in remoto ai file di un computer Windows o Mac. E’ quanto individuato su WhatsApp, anche se Facebook assicura di aver già risolto questo pericoloso bug.
Come confermato anche dal colosso social, la vulnerabilità consisteva in un mix di più difetti ad alta gravità che esistevano all’interno dell’applicazione desktop WhatsApp. Alcuni di questi difetti erano anche parte del client Web WhatsApp che funziona proprio con i browser Web. La vulnerabilità, per farla breve, consentiva lo scripting cross-site (XSS) che poteva essere utilizzato dagli autori di attacchi da remoto.
E’ stato il ricercatore di PerimeterX, Gal Weizman, a scoprire la vulnerabilità di WhatsApp, che è stata rilevata con il codice CVE-2019-18426. Il ricercatore ha affermato che esisteva una lacuna nell’ambito della politica di sicurezza dei contenuti (CSP) di WhatsApp che consentiva attacchi XSS sull’app desktop. Weizman ha poi confermato che il difetto del CSP interessava anche il client Web WhatsApp, in quanto vulnerabile a un difetto di reindirizzamento aperto che avrebbe potuto portare a persistenti attacchi di scripting tra siti innescati dall’invio di messaggi predisposti agli utenti di WhatsApp.
Il ricercatore si è subito accorto di essere in grado di leggere il file system e identificare il potenziale di esecuzione del codice remoto (RCE) sull’applicazione desktop. Agli utenti WhatsApp bastava fare clic sul messaggio predisposto per fornire accesso “backdoor” agli aggressori.
“Per qualche ragione, le regole CSP non erano un problema con l’app basata su Electron, quindi recuperare un payload esterno usando una semplice risorsa JavaScript era possibile”, ha spiegato Weizman nel post del blog.
Il ricercatore ha mostrato anche come poteva svilupparsi l’attacco di un hacker intenzionato ad utilizzare la vulnerabilità. Nello screenshot pubblicato da Weizman veniva infatti evidenziato il contenuto del file hosts recuperato dal computer di una “vittima” utilizzando l’applicazione desktop WhatsApp.
Facebook ha corretto la vulnerabilità – definita di grado “elevato”, ndr – dopo aver ricevuto un avviso dallo stesso ricercatore. Alla fine del mese scorso, il sito NVD ha rivelato che WhatsApp ha rivelato ben 12 vulnerabilità nel 2019, tra cui sette “critiche”.
