Check Point Research ha scoperto una falla nella funzione filtro delle immagini di WhatsApp, ora risolta.
Applicando dei filtri specifici a un’immagine e inviandola successivamente, un aggressore avrebbe potuto sfruttare la vulnerabilità per sottrarre e leggere informazioni sensibili dalla memoria di WhatsApp di un utente.
La vulnerabilità era radicata nella funzione per creare filtri alle immagini di WhatsApp. Il processo che crea i filtri è tale per cui i pixel dell’immagine originale vengono modificati per ottenere alcuni effetti visivi, come la sfocatura o la nitidezza. Durante un’analisi, CPR ha scoperto che “switchare” i vari filtri sulle GIF create causava il crash di WhatsApp. Il team ha poi identificato uno dei crash come una compromissione della memoria e ha segnalato la scoperta a WhatsApp, che ha nominato la vulnerabilità CVE-2020-1910 – descrivendola come un problema di lettura e scrittura out-of-bounds. Uno sfruttamento della vulnerabilità avrebbe richiesto a un hacker di applicare dei filtri specifici a un’immagine appositamente creata per poi inviarla con le modifiche.
CPR ha rivelato le sue scoperte a WhatsApp il 10 novembre 2020 e l’azienda ha verificato e riconosciuto il problema di sicurezza, distribuendo una correzione nella versione 2.21.2.13 rilasciata a febbraio. Al momento non è chiaro se la falla è stata realmente sfruttata prima della sua correzione.
Intanto, l’Irlanda ha emesso una delle multe più alte per violazione delle normative GDPR in Europa proprio contro WhatsApp. Il servizio di messaggistica è stato multato per una somma totale di 257 milioni di dollari a causa di alcuni problemi di sicurezza riscontrati in passato, inclusa una vulnerabilità spyware, e per le politiche generali sulla privacy considerate poco chiare.
La multa più alta legata al GDPR è stata emessa poche settimane fa contro Amazon, per un totale di 887 milioni di dollari. Un portavoce di WhatsApp ha detto che la multa è sproporzionata rispetto alle accuse e che verrà presto fatto ricorso.