Libero
TECH NEWS

WhatsApp Web, un bug permette agli hacker di sottrarre i dati dal PC

Un ricercatore informatico ha scoperto una vulnerabilità che colpisce WhatsApp Web e permette agli hacker di accedere ai dati del PC. Come difendersi

whatsapp web Fonte foto: Mykolastock / Shutterstock.com

Usare WhatsApp Web su un PC con sistema operativo Windows o su un Mac per scambiarsi messaggi con un utente WhatsApp su iPhone: un’eventualità tutt’altro che remota ma che, a quanto pare, non è esente da rischi. Lo ha scoperto Gal Weizman, programmatore e ricercatore di PerimeterX.

Weizman ha infatti scoperto una vulnerabilità di WhatsApp Web, classificata come CVE-2019-18426, che avrebbe consentito a un utente malintenzionato di leggere da remoto i file del computer della vittima grazie a un link inviato tramite messaggio WhatsApp. Facebook ha riconosciuto la vulnerabilità, specificando che affligge solo le versioni di WhatsApp Web precedenti alla 0.3.9309 quando interagiscono con le versioni di WhatsApp per iPhone precedenti alla 2.20.10, e ha rilasciato una correzione. Per “aprire le porte” ad un hacker, in pratica, bastava fare click su un link ricevuto su WhatsApp.

Vulnerabilità WhatsApp Web

Weizman ha spiegato che è stato in grado di eseguire un attacco cross-site (XSS) e anche di bypassare la politica di sicurezza dei contenuti (CSP) di WhatsApp, e quindi di leggere i file presenti sul computer remoto (sia su Windows che su Mac). Un attacco XSS consente a un hacker di eseguire da remoto codice dannoso all’interno del browser dell’utente e di accedere ai suoi dati. Weizman è riuscito anche a manomettere i messaggi inviati da WhatsApp Web in risposta ad altri messaggi ricevuti, specialmente quelli che contenenti la preview di un link. Proprio in questo modo è riuscito a inviare il link pericoloso, senza che l’utente potesse accorgersi di nulla.

Cosa si rischia?

Wizman ha scoperto questo gravissimo bug di WhatsApp Web verso la fine del 2019 e lo ha sottoposto a Facebook, per avere la ricompensa prevista dal bounty program dell’azienda. Facebook non ha potuto far altro che ammettere il bug e correggerlo, staccando un assegno da 12.500 dollari al ricercatore. La correzione del bug è arrivata il 21 gennaio 2020 e, subito dopo, Weizman ha potuto divulgare al mondo la sua scoperta. I bounty program, infatti, funzionano proprio così: chi scopre una falla evita di renderla pubblica e la comunica solo all’azienda che produce il software con il bug. Nel giro di poco l’azienda, in questo caso Facebook, risolve il problema e ringrazia con una ricompensa economica chi ha scoperto il bug e ha atteso la pubblicazione della patch prima di parlarne pubblicamente.