WhatsApp Web, scoperta una grave vulnerabilità nel client web

Il ricercatore di sicurezza di Check Point, Kasif Dekel, nel corso del mese di agosto ha segnalato al team di sviluppatori al lavoro su WhatsApp Web una grave vulnerabilità in grado di contagiare gli oltre 200 milioni di utenti che utilizzano ogni mese l'applicazione di messaggistica istantanea attraverso il browser web. Come sottolineato dall'esperto di sicurezza informatica Dekel, la falla di sicurezza è legata al formato vCard che consentirebbe ad un hacker di attaccare gli utenti iscritti a WhatsApp semplicemente conoscendo il numero di telefono della vittima.

Il client web di WhatsApp permette agli utenti di visualizzare tutti i tipi di allegato disponibile anche all'interno dell'app per smartphone (foto, video, file audio e schede contatto). La falla di sicurezza riguarda proprio le schede di contatto vCard e, più nel dettaglio, il modo in cui il client web gestisce il formato vCard. La vittima riceve un messaggio con un contatto in formato vCard ma quando viene aperta la scheda per leggere le informazioni di contatto viene eseguito il codice infetto sul computer. Per l'hacker è quindi sufficiente realizzare un finto contatto e nascondere un file eseguibile così da attaccare il PC di un utente.

La versione web di WhatsApp utilizza lo standard XMPP (Extensible Messaging and Presence Protocol), ma non effettua nessuna validazione del formato vCard, questo consente ad un esperto informatico di manipolare le schede vCard per realizzare pericolosi malware da diffondere ai contatti WhatsApp. Fortunatamente il team di esperti di sicurezza informatica della Check Point hanno informato i tecnici dell'app di instant messaging che si sono subito attivati per correggere l'errore con la nuova versione 0.1.4481 di WhatsApp Web che ha eliminato la falla di sicurezza legata al formato vCard.