Cerca nel blog

2022/09/29

Aggiornate subito WhatsApp per chiudere due falle critiche

Il 27 settembre scorso è stato rilasciato un aggiornamento di sicurezza molto importante per WhatsApp per Android e iOS, che va installato appena possibile, perché chiude due falle estremamente gravi che permettono a un aggressore di prendere il controllo degli smartphone semplicemente avviando una videochiamata oppure inviando alle vittime un video appositamente alterato.

Le falle sono identificate formalmente con le sigle CVE-2022-36934 e CVE-2022-27492. La prima è presente in WhatsApp normale e in WhatsApp Business per Android e per iOS nelle versioni prima della 2.22.16.12; la seconda è presente in Whatsapp per Android nelle versioni prima della 2.22.16.2 e in WhatsApp per iOS nelle versioni prima della 2.22.15.9. 

Se vi perdete nei numeri di versione, nessun problema: è sufficiente che aggiorniate WhatsApp alla versione più recente disponibile su Google Play su App Store.

Per gli amanti dei dettagli, la prima falla è un classico integer overflow, ossia una situazione in cui un valore intero usato nell’app diventa troppo grande per lo spazio che gli è stato assegnato, un po’ come quando occorre compilare un formulario e le caselle a disposizione non bastano per immettere il numero che bisogna scrivere. Questo produce un errore di calcolo, e se il risultato di quel calcolo viene usato per controllare il comportamento dell’app, l’errore può portare a problemi di sicurezza.

La seconda falla è invece l’esatto contrario, vale a dire un integer underflow, un errore nel quale un calcolo produce un risultato troppo piccolo, per esempio una sottrazione di un numero grande da un numero più piccolo che produce un valore negativo in una situazione nella quale i valori negativi non sono previsti.

Se pensate che questo tipo di falla sia troppo esotico per essere sfruttato, tenete presente che una vulnerabilità analoga che c’era nelle chiamate vocali di WhatsApp è stata utilizzata nel 2019 da una società che produce software spia, NSO Group, per iniettare un suo programma di sorveglianza nascosta, denominato Pegasus, negli smartphone di bersagli politici, docenti, avvocati e collaboratori di organizzazioni non governative.


Fonte aggiuntiva: The Hacker News.

Nessun commento: