Una brutta vulnerabilità di WhatsApp è passata sotto il naso degli utenti per settimane: questo è quello che emerge dall’ultimo changelog dell’applicazione, ossia dalle novità incluse nell’update. Benché WhatsApp abbia cercato di far passare l’aggiornamento sotto la massima discrezione, non è bastato per gli occhi più attenti, che hanno trovato nella scheda WhatsApp Security Advisories un riferimento alla vulnerabilità CVE-2022-36934 – della quale sul Play Store o sull’App Store non c’è traccia.
Come riporta DDay.it, la vulnerabilità era di massimo grado, poiché classificata con un punteggio di 9,8 su 10 secondo il codice stilato dal National Institute of Standards and Technology (NIST). La vulnerabilità permetteva infatti di prendere il controllo di uno smartphone altrui tramite una semplice videochiamata. Una seconda vulnerabilità, di grado inferiore, è stata contestualmente risolta.
Siete pronti per scoprire tutto ciò che bisogna sapere su queste vulnerabilità di WhatsApp?
ALL’UTENTE NON FAR SAPERE… CHE C’È UNA VULNERABILITÀ SU WHATSAPP
Ciò che gli sviluppatori di applicazioni temono di più non è un calo di popolarità o di utenza, ma una vulnerabilità. Secondo una ricerca Ipsos condotta in Italia per conto di Google, la notizia di una vulnerabilità può causare un calo del -44% della popolarità del brand – e a buona ragione, considerando le implicazioni.
Per questo motivo WhatsApp ha tenuto debitamente nascosta la notizia della risoluzione delle vulnerabilità CVE-2022-36934 e CVE-2022-27492. Secondo il codice NIST, che serve a valutare il grado di pericolosità di una minaccia tecnologica, la prima vulnerabilità di WhatsApp si classifica quasi in cima alla lista, con un non invidiabile punteggio di 9,8 su 10; la seconda invece ottiene un più moderato ma comunque alto 7,8 su 10.
Due pericoli non da poco, che però sui principali store di applicazioni non sono stati segnalati. L’aggiornamento che ripara le falle nella sicurezza ed elimina le due vulnerabilità di WhatsApp non sono infatti minimamente menzionati – come segnala DDay.it, su App Store addirittura viene coperto da un generico “bug fixes”.
Eppure potevano mettere in serio pericolo la sicurezza degli utenti:
- la vulnerabilità di WhatsApp CVE-2022-36934, la più seria delle due, permetteva di installare qualunque applicazione con i privilegi più alti su un qualsiasi telefono-vittima semplicemente attraverso una videochiamata WhatsApp “modificata”, grazie a un bug che permetteva l’esecuzione di codice da remoto;
- la vulnerabilità di WhatsApp CVE-2022-27492, invece, consentiva sempre l’esecuzione di codice da remoto tramite l’invio di un file video modificato, ma senza i privilegi più alti.
Se volete saperne di più, c’è un articolo di Malwarebytes dedicato alla spiegazione nei dettagli delle due vulnerabilità.
Il comportamento molto opaco da parte di WhatsApp avrebbe permesso a un attore maligno di approfittare di questa vulnerabilità per i propri fini – cosa ancora teoricamente possibile, dato che l’aggiornamento risolutivo è stato appena distribuito, ma senza la sua installazione è completamente inutile (e tra la distribuzione di un update e la sua installazione possono passare giorni).
Voi, per favore, installatelo!
E, nel frattempo, potete venirci a trovare nel nostro canale Telegram @appelmoladg – là non ci sono vulnerabilità, ma solo tante notizie sulla tecnologia!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!