Gadgetshowto
I ricercatori sulla sicurezza informatica hanno identificato un file vulnerabilità JavaScript critica nell'app desktop WhatsApp precedenti alle versioni 0.3.9309. Scoperta originariamente da Gal Weizman di PerimeterX, la vulnerabilità interessa sia la versione Windows che quella Mac dell'app e potrebbe potenzialmente consentire ai criminali informatici di iniettare malware o eseguire l'esecuzione di codice in modalità remota utilizzando messaggi apparentemente innocui.
Secondo il National Vulnerability Database, la vulnerabilità (CVE-2019-1842) "Se associato a WhatsApp per le versioni di iPhone precedenti alla 2.20.10, consente lo scripting cross-site e la lettura di file locali." In sostanza, consente ai criminali informatici di eseguire campagne di phishing o ransomware attraverso messaggi di notifica che a prima vista sembrano normali.
La vulnerabilità più critica apparentemente consentiva agli aggressori di inviare semplicemente un JavaScript dannoso in un messaggio WhatsApp per assumere il controllo di un dispositivo di destinazione in remoto e leggere i file locali.
Le applicazioni desktop di WhatsApp, che devono essere accoppiate con la versione Android o iOS dell'app per funzionare, sono costruite utilizzando la tecnologia del browser web con il framework Electron. A quanto pare, gli sviluppatori di WhatsApp stavano utilizzando una vecchia versione obsoleta di Chromium (versione 69), che era già nota per avere queste vulnerabilità. La pratica standard è aggiornare sempre il codice con l'ultima versione di Chromium durante l'utilizzo di Electron, come da Weizman.
Le app desktop di WhatsApp hanno più di 1,5 miliardi di utenti a livello globale e non è immediatamente chiaro quanti di loro siano interessati dal problema. Facebook ha già aggiornato il software con le patch necessarie, quindi l'ultima versione dovrebbe essere libera dal problema.
Come già accennato, WhatsApp Desktop v0.3.9309 e le versioni precedenti sono interessate dalla vulnerabilità, quindi è necessario eseguire l'aggiornamento all'ultima versione il prima possibile. Puoi anche saperne di più sul problema dal rapporto di Weizman sul blog ufficiale di PerimeterX.
