Facebook ha svelato l’esistenza di una grave vulnerabilità in WhatsApp che può essere sfruttata per eseguire codice arbitrario sullo smartphone della vittima. L’azienda di Menlo Park non ha fornito molti dettagli sul bug, ma il problema è dovuto al modo in cui l’app di messaggistica gestisce i file MP4. È dunque fortemente consigliato installare le ultime versioni per Android e iOS.
La vulnerabilità (CVE-2019-11931) di tipo “stack-based buffer overflow” può essere sfruttata inviando all’utente un file MP4. Facebook non spiega come deve essere questo file, ma scrive che il problema risiede nel parsing dei metadati e che il bug potrebbe consentire ad un malintenzionato di effettuare un attacco DoS (Denial of Service) o RCE (Remote Code Execution). Nel primo caso l’app va in crash, mentre nel secondo caso è possibile eseguire codice infetto ed eventualmente prendere il controllo dello smartphone. La vulnerabilità è presente in queste versioni di WhatsApp:
- WhatsApp per Android precedente alla 2.19.274
- WhatsApp per iOS precedente alla 2.19.100
- WhatsApp per Windows Phone fino alla 2.18.368
- WhatsApp Enterprise Client precedente alla 2.25.3
- WhatsApp Business per Android precedente alla 2.19.104
- WhatsApp Business per iOS precedente alla 2.19.100
Un portavoce di Facebook ha dichiarato che il bug è stato risolto con le ultime versioni dell’app e che non si segnalano al momento attacchi in corso. Il servizio di messaggistica è molto popolare (oltre 1,5 miliardi di utenti nel mondo), quindi è diventato uno dei bersagli preferiti degli hacker. La famigerata azienda israeliana NSO Group ha sfruttato una vulnerabilità di WhatsApp per installare lo spyware Pegasus sullo smartphone di target specifici. Facebook ha denunciato NSO Group per violazione dei termini del servizio.