Una falla di WhatsApp Web “apriva le porte” del proprio computer

Una falla di WhatsApp Web “apriva le porte” del proprio computer
6 February 2020 – 11:53

WhatsApp WebUna vulnerabilità di WhatsApp Web avrebbe consentito ad attori malintenzionati di accedere ai file del computer dal quale la vittima stava messaggiando.
Gal Weizman, ricercatore e programmatore di PerimeterX, ha scoperto il bug. Ribattezzato come Cve-2019-18426, avrebbe permesso a un attore malevolo di accedere da remoto ai file presenti sul computer della vittima semplicemente tramite un link inviato via WhatsApp.
Facebook ha riconosciuto la vulnerabilità e in fase di patching ha specificato che è relativa a una sfortunata serie di coincidenze. Di fatti la vulnerabilità si verificherebbe solamente quando le versioni precedenti alla 0.3.9609 di WhatsApp Web comunicano con le versioni di WhatsApp per iPhone precedenti alla 2.20.10.
L’attacco
Per verificare la vulnerabilità Weizman ha eseguito un attacco cross-site (Xss) e, bypassando la sicurezza dei contenuti di WhatsApp, è stato in grado di accedere ai file presenti sul computer vittima da remoto. Per scrupolo il ricercatore ha effettuato l’attacco verso un pc e anche verso un Mac, riuscendo in entrambi i casi ad aver accesso ai file memorizzati in locale.
Tramite questo attacco il ricercatore è riuscito anche a manomettere alcuni messaggi inviati da WhatsApp Web sostituendoli con il link malevolo che, se cliccato, avrebbe “aperto le porte” all’attaccante dandogli pieno accesso all’archivio della macchina.
La vulnerabilità è stata scoperta a fine 2019 e sottoposta a Facebook che, come promesso dal suo programma di bug bounty, ha pagato al ricercatore 12.500 dollari di ricompensa e, successivamente, ha provveduto a riparare la falla con una patch. La correzione è arrivata con l’aggiornamento di WhatsApp Web del 21 gennaio 2020.
The post Una falla di WhatsApp Web “apriva le porte” del proprio computer appeared first on Wired.

Fonte: Wired

Utilizzando il sito, accetti l'utilizzo dei cookie da parte di BestAll. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi