WhatsApp Web, un bug permette agli hacker di sottrarre i dati dal PC

Usare WhatsApp Web su un PC con sistema operativo Windows o su un Mac per scambiarsi messaggi con un utente WhatsApp su iPhone: un’eventualità tutt’altro che remota ma che, a quanto pare, non è esente da rischi. Lo ha scoperto Gal Weizman, programmatore e ricercatore di PerimeterX.

Weizman ha infatti scoperto una vulnerabilità di WhatsApp Web, classificata come CVE-2019-18426, che avrebbe consentito a un utente malintenzionato di leggere da remoto i file del computer della vittima grazie a un link inviato tramite messaggio WhatsApp. Facebook ha riconosciuto la vulnerabilità, specificando che affligge solo le versioni di WhatsApp Web precedenti alla 0.3.9309 quando interagiscono con le versioni di WhatsApp per iPhone precedenti alla 2.20.10, e ha rilasciato una correzione. Per “aprire le porte” ad un hacker, in pratica, bastava fare click su un link ricevuto su WhatsApp.

Vulnerabilità WhatsApp Web

Weizman ha spiegato che è stato in grado di eseguire un attacco cross-site (XSS) e anche di bypassare la politica di sicurezza dei contenuti (CSP) di WhatsApp, e quindi di leggere i file presenti sul computer remoto (sia su Windows che su Mac). Un attacco XSS consente a un hacker di eseguire da remoto codice dannoso all’interno del browser dell’utente e di accedere ai suoi dati. Weizman è riuscito anche a manomettere i messaggi inviati da WhatsApp Web in risposta ad altri messaggi ricevuti, specialmente quelli che contenenti la preview di un link. Proprio in questo modo è riuscito a inviare il link pericoloso, senza che l’utente potesse accorgersi di nulla.