La sicurezza di miliardi di utenti poteva essere violata a causa di una serie di gravi vulnerabilità di WhatsApp. La scoperta è del ricercatore di cybersecurity Gal Weizman. Se combinati insieme, i problemi rintracciati avrebbero consentito agli hacker di rubare in remoto i file presenti sui computer Windows o Mac di una persona utilizzando semplicemente l’applicazione desktop di WhatsApp: per effettuare il furto, sarebbe stato sufficiente inviare un apposito messaggio.

I difetti risiedevano nella versione browser della famosa app di messaggistica (WhatsApp web): la vulnerabilità si trovava nell’open-redirect e poteva innescare attacchi di scripting cross-site attraverso l’invio di un messaggio a utenti mirati. In caso di visualizzazione, avrebbe consentito agli aggressori di eseguire un codice arbitrario nel contesto del dominio web di WhatsApp.
I problemi hanno inoltre permesso al ricercatore di attivare un XSS di varie lunghezze utilizzando un iframe da un sito web separato. «Se le regole CSP fossero state ben configurate, la forza di quello script sarebbe stata molto minore – sostiene Wiezman – La possibilità di bypassare la configurazione CSP consente all’aggressore di rubare informazioni preziose alla vittima, di caricare facilmente un XSS dall’esterno e molto altro ancora».

Il difetto dell’open-redirect poteva ingannare gli utenti, facendoli cadere preda di attacchi di phishing, ed essere utilizzato anche per manipolare i banner degli URL, che sono un’anteprima del dominio che WhatsApp mostra ai destinatari quando ricevono un messaggio con dei link.
Weizman ha segnalato i vari problemi al team di sicurezza di Facebook, che è intervenuto correggendo i difetti e rilasciando una versione aggiornata dell’applicazione per il desktop. Il ricercatore è stato premiato con 12.500 dollari nell’ambito del programma di “bug bounty” dell’azienda.