Il colosso dei social networking, Meta, ha recentemente segnalato la presenza di due vulnerabilità nell’app di chat WhatsApp sia per iOS che per Android, che potrebbero venir utilizzate per l’esecuzione di malware da remoto sul dispositivo preso di mira.
Indice degli argomenti
Due vulnerabilità su WhatsApp: i dettagli
CVE-2022-36934, è il nome del primo bug trovato, che ha una classificazione di gravità severa (punteggio CVSS di 9,8). Questo difetto è stato riscontrato in tutte le versioni Android e iOS precedenti alla v2.22.16.12, sia standard che business. Non sono disponibili informazioni e dettagli tecnici al netto del fatto che la società Meta (proprietaria di WhatsApp), indica un buffer overflow come causa principale del problema. La vulnerabilità risulta divulgata all’azienda il 23 settembre 2022.
L’altro difetto, identificato come CVE-2022-27492, interessa le versioni di WhatsApp precedenti alla 2.22.16.2 per Android e alla 2.22.15.9 per iOS. Un utente malintenzionato potrebbe sfruttare questa debolezza per eseguire codice arbitrario sul sistema inviando al sistema un file video appositamente predisposto. Questo problema riguarda alcune elaborazioni sconosciute del componente Gestore file video. La manipolazione porta all’underflow di numeri interi.
Anche questa vulnerabilità è stata pubblicata in data 23 settembre 2022 e anche in questo caso non sono stati forniti ulteriori dettagli tecnici.
L’assenza di dettagli tecnici per le due vulnerabilità è in linea con il principio della divulgazione responsabile adottato da Meta. Si evita di scendere nel dettaglio proprio per consentire la diffusione dell’aggiornamento già predisposto dalla società, e pubblicato sugli Store ufficiali, e dare il tempo agli utenti di installarlo.
In entrambi i casi si può, però, dire che i bug potrebbero essere responsabili dell’esecuzione di codice in modalità remota (o RCE), il che significa che terze parti non autorizzate, da remoto, potrebbero eseguire codice malevolo (malware) al fine di controllare il dispositivo.
L’esecuzione di RCE per la diffusione di malware in app mobili, tuttavia, è tecnicamente differente rispetto allo stesso codice dannoso su un computer. Questo perché, come spiegano i ricercatori di Sophos nella loro analisi, le app mobili sono regolate molto più rigidamente dal sistema operativo nella gestione dei dati e delle risorse, rispetto ai programmi di terze parti per computer (che generalmente hanno una condivisione e una gestione delle risorse, liberamente accessibili).
C’è l’aggiornamento: installiamolo subito
Ci si aspetta, pertanto, una più bassa esposizione al rischio, nonostante l’ipotetico sfruttamento che potrebbe sensibilmente incidere su tutto ciò che si trova all’interno dell’app WhatsApp (conversazioni e contatti).
Nell’avviso di sicurezza ufficiale, inoltre, la società fa notare che non ci sono prove di sfruttamento alcuno delle vulnerabilità presentate e che l’aggiornamento è appunto presente e disponibile per tutti i dispositivi delle versioni coinvolte.
Il consiglio rimane, pertanto, sempre quello di aggiornare per tempo le applicazioni secondo quanto notificato dagli Store ufficiali, senza l’installazione di applicazioni mobili di terze parti (soprattutto nel caso di Android).
