C'è mistero in queste ore intorno a una vulnerabilità potenzialmente molto pericolosa scoperta pochi giorni fa sulla piattaforma WhatsApp. Nei giorni scorsi un ricercatore informatico ha riferito di aver scoperto un metodo di attacco capace di prendere il controllo di uno smartphone remoto semplicemente inviando una GIF al contatto desiderato. Il bug che rendeva possibile questo trucco è stato corretto in una delle ultime versioni dell'app, ma gli sviluppatori di WhatsApp hanno tenuto a precisare che in realtà l'hacker che ha effettuato la denuncia avrebbe ampiamente esagerato la portata della sua scoperta.

Il bug della GIF malevola di WhatsApp

La falla in questione è contenuta nel sistema che WhatsApp utilizza per leggere e riprodurre i dati contenuti nelle GIF animate che in molti ormai utilizzano per comunicare sul web. Per sfruttare questa falla basta creare un file camuffato da GIF ma contenente al proprio interno del codice malevolo. Il pacchetto così inviato finisce nella memoria del telefono del destinatario, e una volta aperto ha la potenzialità per mandare in tilt l'intero sistema di controllo delle funzioni dell'app, che potrebbe così eseguire operazioni arbitrarie scritte preventivamente da un hacker all'interno della stessa GIF insieme al codice necessario a far scattare il bug.

Cosa può fare il bug di WhatsApp

Nella dimostrazione pratica dell'attacco fornita dal ricercatore, una volta ottenuto l'effetto desiderato il telefono può comunicare con un altro dispositivo remoto online per mettergli a disposizione i file e i messaggi contenuti nella cartella dell'app di messaggistica. Il sistema funziona con i telefoni Android nelle versioni dalla 8.1 in su, mentre in quelle precedenti si limita a bloccare l'applicazione senza ottenere altri effetti.

Due versioni discordanti

Fino a questo punto la descrizione del problema data dal ricercatore che l'ha scoperto e l'ammissione di colpa di WhatsApp coincidono. Secondo WhatsApp però affinché l'app vada in tilt l'utente che riceve la GIF malevola deve necessariamente aprire la galleria e inviarla a sua volta; sarebbe quest'ultima cioè l'azione capace di evocare la falla. Stando alla versione dell'hacker, supportata da una prova in video diffusa online, basta invece aprire la galleria dei file ricevuti.

Scaricare l'ultima versione

Quale che sia la versione corretta, l'importante per gli utenti finali è che il correttivo già esiste: l'app è stata aggiornata recentemente dagli sviluppatori e a partire dalla versione 2.19.244 non è più vulnerabile a questo tipo di attacco. Il consiglio è dunque quello di fare una visita al Play Store di Google per controllare se il sistema di distribuzione automatica degli update ha già fatto il suo dovere, e nel caso contrario effettuare un aggiornamento manuale.