Project Zero è il team di Google dedito alla ricerca e analisi dei cosiddetti bug “zero-days”, ovvero mai individuati da nessuno. Si tratta di vulnerabilità molto pericolose perché, essendo ancora irrisolte, possono permettere ad hacker e criminali informatici di violare sistemi indisturbati, sfruttando tempistiche di intervento più lunghe.
Il gruppo di sicurezza, alla fine di agosto, ha scoperto una falla, ora tappata, che permetteva a un virus di usare la funzione di videochiamata di WhatsApp per mettere fuori gioco la piattaforma e, almeno in teoria, compiere varie magagne tramite il client. Il problema è stato scoperto da Natalie Silvanovich, che ha confermato la possibilità di manomettere i pacchetti inviati durante una videochiamata per costringere WhatsApp a comportarsi in maniera inaspettata, ad esempio facendo crashare il software.
A quanto pare, fino al momento della patch, nessuno ha sfruttato la debolezza della versione Android, tanto che Facebook è riuscita a risolverla senza mettere in pericolo gli utenti:
Collaboriamo abitualmente con ricercatori della sicurezza di tutto il mondo per garantire che WhatsApp resti sicura e affidabile – ha affermato un portavoce.
Come le altre scoperte di Project Zero, il team ha informato Facebook dandole tempo 90 giorni prima di divulgare la notizia del bug. Questo mette una certa pressione addosso alle compagnie ma, soprattutto, le obbliga a lavorare sodo per tappare i bug. Se Facebook non l’avesse riparato in tempo, la vulnerabilità sarebbe stata resa pubblica e, a quel punto, realmente pericolosa se utilizzata dagli hacker.
Proprio per tale modalità, Google è stata criticata spesso, ad esempio dopo aver diffuso diversi difetti privi di patch su Windows, alla vigilia di una Patch Tuesday. Tuttavia, altri hanno applaudito l’iniziativa che sembra avere un effetto positivo sulla velocità con la quale vengono affrontati gli zero-days.