I ricercatori della Check Point hanno scoperto un’importante vulnerabilità presente sulle piattaforme web di WhatsApp e Telegram: sfruttando questo exploit, gli hacker possono prendere il controllo completo degli account e accedere alle conversazioni personali e di gruppo degli ignari utenti, coprese foto, video, file condivisi, lista dei contatti e molto altro ancora. Fortunatamente il problema è stato già risolto, ma bisogna comunque stare attenti.
Questa vulnerabilità consente a un utente di inviare alla vittima un codice malevolo, nascosto all’interno di un’immagine dall’aspetto innocuo. Quando la vittima clicca sull’immagine, l’hacker ha il pieno accesso ai dati archiviati dall’utente su WhatsApp o Telegram, prendendo anche il controllo dell’account della vittima. L’hacker può anche inviare file malevoli ai contatti della vittima, che magari si fidano perchè la conoscono personalmente, andando a creare un attacco molto più diffuso.
Check Point ha già inviato tutte le informazioni ai team di sicurezza di WhatsApp e Telegram l’8 marzo 2017. Le due aziende hanno confermato il problema e hanno sviluppato una correzione per i client web a livello globale.
All’origine di questo problema c’è proprio la crittografia end-to-end: poiché i messaggi vengono crittografati dal lato del mittente, WhatsApp e Telegram non potevano vederne il contenuto, e non potevano impedire l’invio di messaggi malevoli. Risolta questa vulnerabilità, il contenuto viene ora convalidato prima della crittografia, consentendo quindi di bloccare i file dannosi. Tra l’altro, entrambe le versioni web sono una sorta di mirror di tutti i messaggi inviati e ricevuti dall’applicazione mobile e sono completamente sincronizzati con i dispositivi degli utenti.
Per essere sicuri di usare la versione più recente dell’app web consigliamo di riavviare il browser su cui utilizzate WhatsApp e/o Telegram web.