La app desktop di WhatsApp include, o per meglio dire includeva fino all’ultimo update, una vulnerabilità di sicurezza dalle conseguenze potenzialmente molto gravi. Gal Weizman, il ricercatore di PerimeterX che ha individuato il problema, ne data l’origine già al 2017 e prende di mira le scarse pratiche di sicurezza adottate dalle grandi corporation anche nella realizzazione di codice usato da milioni di utenti.
All’origine della nuova falla, spiega infatti Weizman, c’è l’utilizzo della piattaforma Electron per la programmazione di applicazioni per computer usando tecnologie del Web. La versione desktop di WhatsApp era basata su una vecchia versione di Chrome (69), mentre la versione stabile stand-alone del browser di Google era già arrivata al numero 78.
Classificata dal NIST con un livello di pericolosità piuttosto alto (8.2), la vulnerabilità CVE-2019-18426 è di tipo Cross-Site-Scripting (XSS) e può essere sfruttata per accedere ai file locali dell’utente o, peggio ancora, per eseguire codice malevolo da remoto. Per sfruttare la falla, un malintenzionato deve spingere la vittima a fare clic sull’anteprima di un link all’interno di un messaggio di testo appositamente malformato, una tecnica di attacco molto popolare (e potenzialmente devastante) anche nella app di messaggistica in versione mobile.
Stando al bollettino ufficiale di Facebook, le versioni di WhatsApp Desktop vulnerabili alla falla CVE-2019-18426 comprendono tutte quelle precedenti alla release 0.3.9309 quando usate in congiunzione con le versioni di WhatsApp per iPhone precedenti alla 2.20.10. Inutile dirlo, l’aggiornamento di tutte le versioni di WhatsApp presenti sul nostro PC o sul nostro smartphone è in questo caso più che mai consigliato.